<OOO>

CTF 풀다가 못 푼 문제가 있었는데, 복기할 겸 쓴다. (지금은 문제가 닫혀있어 글로 작성한다.) CTF : https://play.potluckctf.com/ 먼저 걸려있는 조건은 하단과 같다. 1. -no-shell-escape 옵션 적용 2. php 사용 no-shell-escape 의 옵션은 write18을 사용하지 못하도록 설정하는 옵션이다. * write18 이란? 서버에 명령어를 직접 전달할 수 있는 함수 RCE 하는 방법은 하단과 같다. 1. 파일을 생성 2. 파일 생성 시 내용에 php 코드 삽입 최종 페이로드 \newwrite\tempfile \immediate\openout\tempfile=asdf.php \immediate\write\tempfile{

CTF 문제 풀다가 내부망 침투와 아주 살짝 관련된 문제가 있어서 써본다. admin-panel.local 로 들어가야 flag가 나오는 문제인데, ecorpblog.uctf.ir 서버를 거치지 않고는 못 들어가는 서버다. ecorpblog 서버에 접속을 하면 이런 화면이 보이는데, 글 같은 것이 보인다. 해당 글을 클릭하게 되면 이렇게 글이 보인다. 이거는 처음엔 어떤 유형인지 감이 잘 오지 않았는데, 여기서 스크립트를 잘 보면 답이 나온다. api 가 존재하며, 파일 요청 시 /api/view.php 에 file:/// 을 사용하여 파일을 요청하게 되는데, 여기서 설마 LFI가 터질까 라는 생각을 했었고, 터졌었다. 이렇게 /etc/hosts 파일을 잘 불러오는 걸로 보아 음... RCE를 해야하나?..

이번 2023년 linectf에서 문제를 복습하는 차원으로 풀어보고자 한다. [Baby Simple GoCurl] 뭔가 SSRF 같이 생긴 문제다. 소스코드 - main.go package main import ( "errors" "fmt" "io/ioutil" "log" "net/http" "os" "strings" "github.com/gin-gonic/gin" ) func redirectChecker(req *http.Request, via []*http.Request) error { reqIp := strings.Split(via[len(via)-1].Host, ":")[0] if len(via) >= 2 || reqIp != "127.0.0.1" { return errors.New("Someth..

오랜만에 글을 쓰는 것 같다. 푼 문제는 Rev - Meow pyjail - TheOnlyJail crypto - Ancient Web - get flag 1 , get flag 2 + 그리고 팀원이 푼 문제도 있긴 한데 문제가 닫혀서 확인을 할 수가 없다... [Pyjail] 저 주소로 들어가면 입력할 수 있는 창이 나온다. import os 입력 후 os.system('ls') 를 입력하게 되면 최상위 디렉토리를 보여준다. 여기서 특수문자는 대부분 필터링이 되어 있으므로 우회 하는 방식이 아닌 것으로 생각했다. 어차피 os 모듈 사용할 수 있는데 프로세스나 볼까 해서 봤더니 sh 라는 글자가 있어 os.system('sh') 입력 후 ls 치니 친절히 떠서 /home/ctf/flag.txt 읽었다. ..

평소 버그바운티 플랫폼으로 자주 사용하는 findthegap에서 크리스마스 버그바운티 대회를 열었다. 각 주차마다 오픈되는 서비스가 다양했었고, 웹 뿐만이 아니라 모바일도 있었다. 예전부터 느꼈지만 특정 시간대에 오픈이 되는 버그바운티는 누가 먼저 빨리 취약점을 찾느냐가 중요하기 때문에 최대한 짧은 시간 내에 많은 취약점을 찾을려고 했었다. 다양한 도메인중 제일 기억에 남는건 api 서버를 사용하는 A 서버가 제일 기억에 남는다. 내가 찾은게 중복일 수도 있지만 헛된 것이라고 생각은 하지 않는다. 머릿속으로 상상하는 가설이 과연 통할까? 라는 생각으로 분석을 시작하고 공격을 했을 때 뚫린다는게 너무 좋았다. + 2023-01-06 후기 CTB에 참여했던 사람들의 포인트 점수를 계산 했을 때 아 이정도면 ..

모 기업 프로젝트 진행 중에 VDI 프로그램을 진단 해 달라고 했었다. CS 진단을 처음 해보는데 뭘 해야할지, 무작정 못하는 리버싱을 해야하나? 라는 생각도 들었다. 내가 진단 해야 할 VDI 는 VDI 환경에서 administrator 계정으로 로그인 하는 것이 아닌, 일반 사용자 계정으로 로그인 하는 시스템이었다. 이것저것 둘러보던중 cmd, regedit, 로컬정책편집기 등 시스템 설정과 관련된 모든 항목들이 접근 금지가 되어 있었다. 순간적으로 문득 관리자가 접근 금지로 설정한 항목을 접근 가능하게 한다면 취약점이지 않을까? 라는 생각이 들었다. 그래서 최대한 cmd를 실행 시킬 수 있는 방향으로 접근하였다. cmd를 사용할 수 있는 방법을 찾다가 좋은걸(?) 발견했다. https://conem..

문득 "XSS 공격 시 리다이렉션을 통한 쿠키 탈취 말고 티 안나게 쿠키 탈취 하는 방법은 없을까?" 라는 생각이 들었다. 그래서 구글링을 하다가 fetch 메소드를 사용하면 어떨까 싶었다. 우선 fetch 메소드에 대해서 간략하게 알아보자. Fetch 메소드란? Javascript의 fetch() 메소드는 서버에 요청하고 웹 페이지에 정보를 로드하는데 사용된다. 즉, 서버에 요청할 수 있는 기능이다. 간략하게 알아보았으니 이제 실습을 할 차례이다. 본 게시글에선 php를 이용하였으나, 자신이 좋아하고 만들기 편한 언어를 이용하면 된다. XSS가 발생할 페이지에서 setcookie 함수를 이용하여 쿠키를 생성하고 echo로 입력값을 출력시키는 소스다. 잘 동작하는지 h1 tag를 이용하여 테스트 해준다...

Cat Lovers 고양이는 사랑이다. 문제 서버로 들어가면 이렇게 보인다. 고양이는 언제봐도 귀엽고 사랑스럽다. 여기서 개발자 도구(F12)를 키게 된다면 이렇게 보인다. image.php 페이지에서 file 파라미터로 이미지를 불러오는데, 여기서 LFI가 터진다. 그러나 image.php?file=../../../../../etc/passwd 로 요청 할 경우 이렇게 상상했던 것이 아닌 다른 모습이 뜬다. 이때는 cmd에서 curl로 요청을 하면 된다. 맨 하단 catlover의 계정에 flag가 있다. Brainfuck Machine 문제 서버로 들어갈 경우 brainfuck 으로 인코딩이 되어 있으면 디코딩을 하여 output으로 출력을 해주는 사이트이다. 처음에는 어떻게 풀어야 할 지 감을 못잡..