끄적끄적 끄적끄적

48번 문제로 들어가자마자 XSS가 일어났다는 팝업창이 뜬다. 팝업창을 끄면, 파일과 메모를 업로드할 수 있는 페이지가 있다. 아무 파일이나 업로드해 전송해보았다. (파일명은 3글자를 넘을 수 없다고 해서 확장자를 지우고 전송했다.) 전송해보니 내가 입력한 메모와 함께 upload file과 delete 버튼이 생성됐다. upload file을 클릭했더니 null이라는 메시지만 출력되었고, Delete를 클릭했더니 메시지와 업로드 파일이 삭제되었고 URL도 바뀌었다. 파일을 삭제한 후, 삭제된 파일 경로(webhacking.kr ~~ /upload/[파일명])로 들어가보면 에러가 출력된다. 이를 통해 delete 클릭 시에는 메모 뿐만 아니라 업로드한 파일도 삭제한다는 것을 알 수 있다. 즉, 파일 삭제..

이번 문제는 파일 업로드 취약점과 관련된 문제이다. 일단 아무 빈 파일을 업로드해봤더니 Done~이라는 메시지가 출력됐다. index.phps로 들어가서 소스를 확인해보자. 업로드한 파일명을 $fn에 저장하고, 파일명에 /, \, htaccess, .htaccess이 들어가거나 파일명이 10자가 넘어가면 페이지를 종료한다. 또한 파일명에 .(온점), 이 들어가면 이를 공백으로 필터링한다. 그 다음 $cp 변수에 웹서버에 저장된 임시 파일명을 저장하고, copy 함수를 사용하여 해당 파일을 $hidden_dir/$fn으로 복사한다. 그리고 $hidden_dir/$fn 파일을 쓰기 모드로 열어 패스워드를 파일에 입력하면 코드가 종료된다. 따라서 패스워드를 알아내기 위해서는 $hidden_dir을 알아야 한다..

47번 문제는 메일 헤더 인젝션과 관련된 문제이다. 47번 문제의 소스를 보니 index.phps로 가보라고 나와있다. index.phps로 접속해보자. 코드를 보니 mail 함수가 사용된 것을 확인할 수 있다. mail(수신자, subject, message, header) 함수는 PHP에서 이메일을 보낼 때 사용하는 함수이다. mail 함수의 인자 중 하나인 header는, 메일 헤더의 마지막에 추가하고 싶은 헤더 내용을 입력할 수 있는 인자이다. 일반적으로 header의 인자로 들어가는 추가 헤더에는 3가지가 있다. from: 메일 송신자의 주소 cc(carbon copy): 메일의 참조인. 수신자 외 다른 사람에게도 메일을 수신한다. bcc(blind carbon copy): 숨은 참조인. 수신자..

59번 문제로 들어가보면, 회원가입과 로그인을 할 수 있는 입력창이 보인다. 개발자도구를 실행해서 각 입력칸이 무엇을 의미하는지 알아보았다. 소스코드를 통해 두 입력칸이 각각 id와 phone을 입력받는 곳임을 알 수 있었다. 개발자도구로는 더 알아낼 정보가 없어서 이번엔 소스 링크를 클릭해보니 해당 페이지의 소스코드가 나왔다. 아래에 있는 if문이 JOIN에 대한 조건인 것 같으니 아래 조건문부터 먼저 살펴보자. 이 조건문에서는, 입력받은 phone의 길이가 20 이상이거나, 문자열 내에 admin, 0x, #, hex, char, ascii, ord, from, select, union 중 하나라도 포함되어 있으면 Access Denied 문구와 함께 페이지를 종료한다. 또한 입력받은 id가 admi..

54번 문제로 들어가면, Password is라는 문구가 뜨고, 일정 시간마다 한글자씩 보여준다. 개발자도구를 실행해 소스를 확인해보았다. 소스를 보면 run( ) 함수와 answer( ) 함수가 정의되어 있다. 먼저 run( ) 함수를 간단하게 살펴보자. function run(){ if(window.ActiveXObject){ try { return new ActiveXObject('Msxml2.XMLHTTP'); } catch (e) { try { return new ActiveXObject('Microsoft.XMLHTTP'); } catch (e) { return null; } } }else if(window.XMLHttpRequest){ return new XMLHttpRequest(); }e..

39번 문제로 들어가보면, id를 입력하는 칸과 제출 버튼만 달랑 있다. 일단 아무거나 입력하고 제출해봤더니 아래와 같은 에러 문구가 출력되었다. 17번째 줄에서 mysql_fetch_array()를 통해 요청한 쿼리가 틀렸기 때문인 것으로 보인다. 개발자도구를 통해 소스를 확인해보았다. 소스코드에서 index.phps로 이동해보라 해서 들어가보니, Challenge 39의 소스코드가 나와있었다. 소스 코드를 간단히 해석해보면 다음과 같다. if($_POST[id]) { $_POST[id]=str_replace("\\","",$_POST[id]); //백슬래시(\) 필터링 $_POST[id]=str_replace("'","''",$_POST[id]); //싱글 쿼터(') 1개를 싱글쿼터 2개('')로 필..

26번 문제로 들어가면, 아무것도 없이 그냥 index.phps 링크만 있다. 이 링크로 들어가보자. index.phps로 들어가면 아래와 같이 간단한 소스코드가 나온다. 제일 먼저 eregi 함수가 보이는데, 이 함수는 admin이라는 문자열을 필터링하고 있다. 따라서 admin을 입력하려면 eregi 함수를 우회할 필요가 있다. 그리고 GET 방식으로 입력받은 id를 urldecode 함수로 URL 디코딩한 후 다시 id에 저장한다. 그 다음 id가 admin인지 검사하여, id가 admin이면 문제가 해결된다. 처음에는 eregi 함수만 우회하기 위해 %00(null)을 써준 뒤에 admin을 URL 인코딩한 문자열인 %61%64%6d%69%6e을 GET 방식으로 전송해봤지만, no 메시지가 출력되..

32번 문제로 들어가면 hit 수에 따른 랭킹이 나와있고, 맨 아래에는 join 버튼이 있다. join 버튼을 클릭하면 Done이라는 팝업창이 뜨고, 화면에는 내 아이디와 함께 hit 수가 보인다. 처음에는 hit가 0인데, 내 아이디를 한번 클릭하면 hit가 1로 변한다. 한번 더 내 아이디를 클릭하면 no라는 팝업창이 뜨고 hit도 변하지 않는다. Fiddler로 no 알림창이 나올 때의 페이지를 확인해보니 vote_check라는 쿠키가 ok로 되어있는 것을 확인할 수 있었다. EditThisCookie로도 vote_check 쿠키를 확인할 수 있다. vote_check 쿠키를 삭제한 후 다시 내 아이디를 클릭하니 hit가 증가했고, vote_check 쿠키도 다시 생성됐다. 이러한 과정을 몇 번 반..