<html> 
<head> 
<title>Challenge 26</title> 
<style type="text/css"> 
body { background:black; color:white; font-size:10pt; }     
a { color:lightgreen; } 
</style> 
</head> 
<body> 

<? 

if(eregi("admin",$_GET[id])) { echo("<p>no!"); exit(); } 

$_GET[id]=urldecode($_GET[id]); 

if($_GET[id]=="admin") 
{ 
@solve(26,100); 
} 

?> 
 

<br><br> 
<a href=index.phps>index.phps</a> 
</body> 
</html> 



위 소스코드를 보면 id 파라미터를 $_GET 방식으로 받아 eregi 함수로 패턴을 검사한다. 이때, 전달받은 값이 "admin" 이라면 종료하고


아니면 urldecode 함수로 디코딩한다. eregi 함수를 우회하면 되는데 admin을 인코딩하면 %61%64%6d%69%6e 이다. 


하지만 $_GET 방식이나 $_REQUEST로 서버가 전달받으면 자동으로 디코딩작업을 해준다. 결국 admin을 받아서 필터처리된다.


따라서 %까지 인코딩해서 보내야한다. %2561%2564%256d%2569%256e














'WEB Hacking > webhacking.kr' 카테고리의 다른 글

[webhacking.kr] 18번 SQL 인젝션  (0) 2018.08.29
[webhacking.kr] 39번 SQL 인젝션  (0) 2018.08.28
[webhacking.kr] 20번  (0) 2018.08.24
[webhacking.kr] 24번  (0) 2018.08.23
[webhacking.kr] 23번  (0) 2018.08.23

<html>

<head>

<title>Challenge 20</title>

<style type="text/css">

body { background:black; color:white; font-size:10pt; }

input { background:silver; color:black; font-size:9pt; }

</style>

</head>

<body>

<center><font size=2>time limit : 2</font></center>

<form name=lv5frm method=post>

<table border=0>

<tr><td>nickname</td><td><input type=text name=id size=10 maxlength=10></td></tr>

<tr><td>comment</td><td><input type=text name=cmt size=50 maxlength=50></td></tr>

<tr><td>code</td><td><input type=text name=hack><input type=button name=attackme value="plsxprjxpt"

 style=border:0;background=lightgreen onmouseover=this.style.font=size=30 onmouseout=this.style.font=size=15></td></tr>

<tr><td><input type=button value="Submit" onclick=ck()></td><td><input type=reset></td></tr>

</table>

<script>

function ck()

{


if(lv5frm.id.value=="") { lv5frm.id.focus(); return; }

if(lv5frm.cmt.value=="") { lv5frm.cmt.focus(); return; }

if(lv5frm.hack.value=="") { lv5frm.hack.focus(); return; }

if(lv5frm.hack.value!=lv5frm.attackme.value) { lv5frm.hack.focus(); return; }


lv5frm.submit();


}

</script>


<br>


do not programming!<br>

this is javascript challenge


</body>

</html>



위 소스코드에 보면 time limit : 2 라는 힌트가 있다. 시간 제한이 2초라는 의미인 것 같다. 

처음에는 힌트 생각을 안하고 lv5frm.hack.value 값 검증하는 부분을 우회해서 다르게 입력하면 되는줄 알았다.

힌트를 감안해서 문제를 보면 2초안에 lv5frm.hack.value 값을 동일하게 보내야 풀 수 있는 문제이다.


F12 개발도구에 콘솔에 아래와 같이 입력해주면 됨.



'WEB Hacking > webhacking.kr' 카테고리의 다른 글

[webhacking.kr] 18번 SQL 인젝션  (0) 2018.08.29
[webhacking.kr] 39번 SQL 인젝션  (0) 2018.08.28
[webhacking.kr] 26번  (0) 2018.08.24
[webhacking.kr] 24번  (0) 2018.08.23
[webhacking.kr] 23번  (0) 2018.08.23


<html>

<head>

<title>Challenge 24</title>

</head>

<body>

<table border=1><tr><td>client ip</td><td>49.142.97.190</td></tr><tr><td>agent</td><td>Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0</td></tr></table><p><hr><center>Wrong IP!</center><hr>


<!--


source : index.phps


-->


</body>

</html>


index.phps 를 통해 소스코드를 볼 수 있다.




 <html>

<head>

<title>Challenge 24</title>

</head>

<body>

<?


extract($_SERVER);

extract($_COOKIE);


if(!$REMOTE_ADDR) $REMOTE_ADDR=$_SERVER[REMOTE_ADDR];


$ip=$REMOTE_ADDR;

$agent=$HTTP_USER_AGENT;


if($_COOKIE[REMOTE_ADDR])

{

$ip=str_replace("12","",$ip);

$ip=str_replace("7.","",$ip);

$ip=str_replace("0.","",$ip);

}


echo("<table border=1><tr><td>client ip</td><td>$ip</td></tr><tr><td>agent</td><td>$agent</td></tr></table>");


if($ip=="127.0.0.1")

{

@solve();

}


else

{

echo("<p><hr><center>Wrong IP!</center><hr>");

}

?>

<!--

source : index.phps

-->

</body>

</html>

위는 index.phps 소스코드이며, extract 함수를 통해 $_SERVER과 $_COOKIE 값을 변수화 시켜주었다.

ip가 127.0.0.1 이 되면 @solve(); 함수가 동작하는데 정규식으로 필터 처리하고 있다.

버프스위트로 REMOTE_ADDR 쿠키 값에 112277..00..00..1를 입력하여 전달하면된다.





'WEB Hacking > webhacking.kr' 카테고리의 다른 글

[webhacking.kr] 18번 SQL 인젝션  (0) 2018.08.29
[webhacking.kr] 39번 SQL 인젝션  (0) 2018.08.28
[webhacking.kr] 26번  (0) 2018.08.24
[webhacking.kr] 20번  (0) 2018.08.24
[webhacking.kr] 23번  (0) 2018.08.23

<?php

$a = $_GET['a'];

if(eregi("script", $a){

echo "detected!<br>";

}else{

echo "bypass<br>";

echo $a;

}

?>


위와 같이 eregi 함수를 사용하여 script 문자열을 필터링할 때 php 5.3+ 부터는 널바이트 삽입을 통해 우회가 가능하다.


http://hackability.kr/entry/PHP-%EB%AC%B8%EC%9E%90%EC%97%B4-%ED%95%84%ED%84%B0%EB%A7%81-%ED%95%A8%EC%88%98ereg-eregi-%EC%B7%A8%EC%95%BD%EC%A0%90%EC%9D%84-%EC%9D%B4%EC%9A%A9%ED%95%9C-%EC%9A%B0%ED%9A%8C






어떠한 것들이 필터링 되었는지 특수문자도 입력해보고 ScriPt등과 같이 대소문자를 조합하여 입력해보고 테스트한 결과

2글자 이상의 문자열을 입력했을 때 no hack이라고 필터처리된다. 위에서 언급한 것과 같이 eregi 함수를 사용했고 php 5.3+ 이라면

널바이트 삽입으로 필터링을 우회할 수 있을 것이다.


따라서 %00<script>alert(1)</script>을 URL에 입력한다. 주의할 점은 입력폼에 삽입을 하면 %부분을 URL 인코딩하여 

index.php?code=%2500%3Cscript%3Ealert%281%29%3B%3C%2Fscript%3E 같이 전송하기 때문에 URL에 직접 입력한다.


23번 문제는 필터링 우회, eregi 함수 취약점에 관한 문제인 것 같다.






'WEB Hacking > webhacking.kr' 카테고리의 다른 글

[webhacking.kr] 18번 SQL 인젝션  (0) 2018.08.29
[webhacking.kr] 39번 SQL 인젝션  (0) 2018.08.28
[webhacking.kr] 26번  (0) 2018.08.24
[webhacking.kr] 20번  (0) 2018.08.24
[webhacking.kr] 24번  (0) 2018.08.23

+ Recent posts