본문 바로가기

🏴‍☠️ CTF 🏴‍☠️

(27)

[Dream Hack - Reversing] Simple Patch me 문제 해석main 함수dword_40404C 값이 0 으로 시작해서 0x2237까지 증가하면서 while문이 동작하고 있다. sleep(0xE10u) 함수를 사용하여 한번 증가할때마다 1시간씩 걸리는 것을 확인할 수 있다.두가지 방법으로 기다리지 않고 진행하도록 만들 수 있을 것 같다. dword_40404C에 0x2237보다 큰 값을 넣는 방법sleep 함수에 0을 넣는 방법방법 선택을 위해 sub_401196 함수를 살펴보자 sub_401196 dword_40404C = 0x2238 로 세팅하는 방법으로도 가능해 보인다.sleep(0) 을 설정하는게 간단해 보여 이 방법을 사용하고자 한다. 풀이 방법 a) dword_40404C = 0x2238 세팅ELF 파일 포맷이므로 Linux 환경에서 pwnd..

[Dream Hack - Reversing] Simple Counter 문제 해석파일 실행 결과 IDA수도 코드를 살펴보면 i는 10에서 0까지 반복하면서 출력되고, i=3일때, src에 어떤 스트링이 복사되는 것을 확인할 수 있다.flag_gen 함수는 IDA View에서 찾을 수 있었다. 동작과정을 요약하면 아래와 같다.loc_15A0 : i와 0 비교.→ i > 0 : 반복문 수행 → i ≤ 0 : i 와 5 비교. → i == 5 : flag_gen 실행 → i ≠ 5 : 프로그램 종료.i를 중간에서 5로 바꿔주면 flag_gen 함수를 실행시킬 수 있다. pwndbg$ break main $ run 에서 와 5가 비교되는 것을 볼 수 있다. breakpoint를 걸고 실행한다.$ break *main+278$ continue $ x/1 $rbp-40..

[Dream Hack - Web] sql injection bypass WAF 문제 해석error based sql injection 문제와 달라진 점 중이 크게 두가지 보였다.keywords에 있는 문자열을 포함하는 경우, SQL 문이 실행되지 않는다.keywords = ['union', 'select', 'from', 'and', 'or', 'admin', ' ', '*', '/']def check_WAF(data): for keyword in keywords: if keyword in data: return True return False더 이상 에러문을 출력하지 않는다.uid = request.args.get('uid') if uid: if check_WAF(uid): return 'your r..

[Dream Hack - Web] error based sql injection Error Based SQL Injection공격자가 웹 애플리케이션에서 발생하는 에러 메시지를 이용해 데이터베이스의 구조나 내부 정보를 획득하는 공격기법이다. 공격자는 SQL 쿼리의 취약점을 이용하여 에러를 유도하고, 그 에러를 분석하여 정보를 추출한다. EXTRACTVALUE( {XML 형식의 값}, {XPath 조건식} )특정한 XPath 조건식을 기반으로 XML 문서에서 값을 추출하는 데 사용된다.- BOOK_XML 어린 왕자 앙투안 드 생택쥐페리 9,800 - 예시 쿼리SELECT EXTRACTVALUE(BOOK_XML, '/STORE/BOOK/TITLE') FROM BOOK_LIST; - 실행 결과어린왕자 풀이 방법 flag 길이 구하기' or extractvalue(1, c..

[Dream Hack - Web] csrf-2 문제 해석/ 페이지@app.route("/")def index(): session_id = request.cookies.get('sessionid', None) try: username = session_storage[session_id] except KeyError: return render_template('index.html', text='please login') return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}')쿠키에서 session id를 확인하고 그 값에 따라..

[Dream Hack - Web] csrf-1 CSRF란?CSRF란, Cross Site Request Forgery의 약자로, 사이트간 요청 위조를 뜻합니다. CSRF는 사용자가 자신의 의자와는 무관하게 공격자가 의도한 행위(데이터 수정, 삭제, 등록 등)을 특정 웹사이트에 요청하는 공격입니다.예를 들어, 피해자의 전자 메일 주소를 변경하거나 암호를 변경하거나 자금이체를 하는 등의 동작을 수행하게 할 수 있습니다. 또, 특성에 따라 공격자는 사용자의 계정에 대한 완전한 제어권을 얻을 수도 있습니다.서버는 로그인 시 인증된 사용자의 정보를 세션(session)에 저장하고 이에 매칭되는 세션 아이디(session ID)을 만든다.서버는 저장된 세션 정보를 클라이언트(브라우저)가 사용할 수 있도록 세션 아이디를 Set-Cookie 헤더에 담아서 전달한다..

[Dream Hack - Web] xss-2 문제 해석/vuln 페이지xss-1에서와 다르게 script 코드가 동작하지 않는다. /vuln 라우터를 살펴보니 vuln.html 페이지를 렌더링하고 있다.@app.route("/vuln")def vuln(): return render_template("vuln.html"){% block content %} {% endblock %}코드를 살펴보면,location.search ⇒ URL 쿼리 문자열 부분을 반환한다. 예를 들어, http://example.com?page=1¶m=test인 경우 location.search는 ?page=1&param=test 가 된다.new URLSearchParams(location.search) 는 이 쿼리 문자열을 URLSearchParams 객체..

[Dream Hack - Web] xss-1 문제 해석/vuln 페이지/vuln 라우터는 파라미터 값을 그대로 html에 랜더링 해주기 때문에 XSS 취약점을 보유하고 있다.@app.route("/vuln")def vuln(): param = request.args.get("param", "") return param그래서 http://127.0.0.1:8000?param= 을 넘겼을 때, 아래와 다음과 같이 코드가 실행되는 것을 볼 수 있다./memo 페이지파라미터로 넘긴 memo 값에 대해 계속 이어붙여 나가는 것을 확인할 수 있다.@app.route("/memo")def memo(): global memo_text text = request.args.get("memo", "") memo_text += text + "..

이전 1 2 3 4 다음

티스토리툴바