btr95

소스를 확인해보면 입력한 값은 int형으로 casting이 되고, D1에 값을 p7이라는 c 프로그램에 인자로 넘겨줍니다.

그 결과와 D2값이 동일하면 문제가 해결됩니다.

우선 p7.c 코드를 확인해 봅니다. (URL로 이동)

결론은 처음에는 음수였다가 +5한 값이 4이하이면서 1이 아니면 해결이 됩니다.

하지만 가장 작은 값인 0을 입력해도 +5를 하면 ④번으로 인해 실패하게 됩니다.

처음 문제를 열었을 때 32bit application에서 integer type에 관해 알고 있는지 물어봅니다.

32bit에서 int는 4byte로 값의 범위가 정해져 있습니다.

이때 2,147,483,647이상의 값을 입력하게 되면 error나는 것이 아니라 Overflow로 음수가 됩니다.

(ex. 2147483647 + 1 = -2147483648)

이것을 이용해서 문제를 해결 할 수 있습니다.

최대 값인 2,147,483,647을 D1에 입력하면 ②번의 양수를 검사하는 부분을 통과하게 되고,

+5를 하게 되면 Overflow가 발생하여 -2,147,483,644이 됩니다.

그리고 해당 값을 보낼 때 input tag에서 글자 수 제한(9)을 두었는데 개발자 모드로 살~짝 바꿔주시면 됩니다.

[참고]

C언어 데이터 형식 범위: https://msdn.microsoft.com/ko-kr/library/s3f49ktz.aspx

tmitter이라는 홈페이지가 나옵니다.

계정을 로그인 할 수 있는 버튼과 새로 가입할 수 있는 버튼이 하나씩 있습니다.

계정을 모르기 때문에 해당 페이지로 가보면 ID/PS 입력란이 있고 아무것도 알려주지 않습니다.

소스를 확인 하면 주석으로 admin으로 가입하라는 힌트가 하나 주어집니다.

기본적으로 admin으로 가입을 시도하면 다음과 같이 존재한다면서 아이디가 생성되지 않습니다.

SQL Injection으로 해보면 되지 않을까 생각에 다음과 같이 시도해도 싱글쿼터(') 앞에 \가 붙으면서 제 역할을 하지 못합니다.

아마 addslashes() 나 get_magic_quotes_gpc()가 사용되고 있는 것으로 생각됩니다.

(insert into table_name value('$id','$pw')이런 식으로 join하겠죠?)

하지만 멀티바이트를 사용하는 언어셋 환경이라면 싱글쿼터를 우회 할 수 있습니다.

%a1~%fe 중 하나를 싱글쿼터 앞에 붙여서 보내면 싱글쿼터와 합쳐져 하나의 문자로 인식되기 때문에 우회가 가능합니다.

그래서 burp suite로 중간에 해당 값을 바꿔서 보내면 가입이 완료됩니다.

근데 생각해보니 싱글쿼터가 하나가 남게 되는데 query error가 아닌가 보네요...?

#을 지우고 해도 join이 되었습니다...??? (알 수 없네요..)

원래 의도 풀이

다른 블로그를 확인해보니 DB의 문제를 이용한 풀이를 했었습니다.

사실 처음 화면에 왜 create 문을 보여주었는지 의아해 했는데...

id가 32글자라는 것이 중요한 힌트였습니다.

서버에서 처리할 때 trim을 이용해 앞뒤 공백을 지우게 되는데 이것을 이용해서

"admin                           1" 이런 식으로 1을 제외한 앞 부분까지 32글자를 공백으로 만들어 보내면

32글자까지만 인식하기에 admin으로 가입이 되는 문제였습니다.

어지러운 패턴의 연속으로 되어있는 배경이 보입니다.

우선 이미지를 얻기 위해 소스를 확인해 보시면 쉽게 얻을 수 있습니다.

HxD로 확인해 보면 맨 아래 부분에 tExtsoftware.Japng r119 라는 문구가 의심스럽습니다.

japng 검색해보면 png파일을 여러장의 이미지를 하나의 파일로 만들어 gif처럼 움직이는 이미지를 만들 수 있습니다.

japngEditor를 이용해서 해당 이미지를 열어보면 다음과 같이 두 가지의 이미지가 들어있는 것을 알 수 있습니다.

(cmd>java -jar japng-editor.jar)

각각의 이미지를 Export해서 보다 보면 QR CODE일 것이라는 생각이 듭니다.

하지만 QR CODE를 인식하려면 하나의 이미지로 만들어야 되는데 배경이 흰색이기에 겹치지 못합니다.

다양한 방법이 있겠지만 PhotoScape라는 프로그램을 이용해서 이미지의 투명도를 조절해 하나로 겹치게 만들 수 있습니다.

QR CODE Scanner로 문자열을 얻고 인증하면 key값을 획득할 수 있습니다.

python에서 .pyc는 컴파일된 파일입니다.

문제 자체가 decomplie하라는 문제이기 때문에 해당 파일을 디컴파일 먼저 수행해야 합니다.

"Easy Python Decompiler" 프로그램을 통해 간단하게 수행할 수 있습니다.

해당 프로그램을 사용하면 .pyc_dis 파일이 생성되고 확장자를 py로 바꾸고 열어보면 코드를 확인 할 수 있습니다.

아래 코드의 flag가 답을 얻기 위해 찾아야 되는 값입니다.

그리고 현재 시간을 통해서 ok변수 값의 flag값이 만들어지고 입력한 flag값과 비교를 합니다.

그렇다면 모르는 flag값을 제외한 코드를 사용해서 flag값을 만들 수 있습니다.

최종적으로 아래 코드를 이용해서 flag값을 획득 할 수 있습니다.

하지만 서버 시간과 사용자pc의 시간이 달라 flag값이 제대로 되지 않을 수 있습니다.

서버 시간에 맞춰 pc시간을 조정해서 python코드를 실행하면 올바른 값을 얻을 수 있습니다.

단순히 값을 비교하라는 문제입니다.

value1에는 알파벳 만을 사용해야 하고,

value2에는 숫자 만을 사용해서 md5값이 동일해야 합니다.

php md5 crash라고 검색을 해보면 아래 참고 사이트가 나오게 됩니다.

해당 사이트에서 md5의 숫자와 문자열의 값이 동일한 것에 대한 이야기가 나오니 확인해 보시면 됩니다.

[참고]

알파벳/숫자 md5 값 동일: https://news.ycombinator.com/item?id=9484757

strcmp에 관한 문제입니다.

strcmp에 취약점이 있는 문제로 해당 취약점을 알아야 풀 수 있습니다.

지금 $password는 rand()함수로 인해 값이 계속 변해서 정확한 password는 알 수 없습니다.

strcmp(a,b) 함수의 역할은 a가 작으면 음수, b가 작으면 양수, 같으면 0을 반환해주는 함수입니다.

0을 반환해야 문제가 풀리기 때문에 배열과 비교를 하면 0의 값을 띄워주는 취약점을 이용하면 됩니다.

 POST 방식으로 값이 날라가기 때문에 burp suite를 사용해 중간에 값을 바꿔줍니다.

password=1로 보내는 게 아니라 password[]=1로 보내서 배열 형식으로 보내주면 배열과 문자열을 비교하여 0의 값을 반환합니다.

[참고]

[PHP] strcmp 취약점을 이용한 인증 우회: http://hackability.kr/entry/PHP-strcmp-%EC%B7%A8%EC%95%BD%EC%A0%90%EC%9D%84-%EC%9D%B4%EC%9A%A9%ED%95%9C-%EC%9D%B8%EC%A6%9D-%EC%9A%B0%ED%9A%8C

보통 md5('value')로 hash값을 만들면 32자리 hex값으로 나오게 됩니다.

하지만 md5('value', true)로 hash값을 만들면 16자리 바이너리 형태로 나오게 됩니다.

바이너리 형태로 나오게 되면서 취약점이 발생합니다.

password='aaa'='bbb' 라는 식은 password='aaa' 부분이 false, bool 연산의 문자열은 false이기에 'bbb'도 false가 나와

true로 query가 작동하게 됩니다.

그렇다면 md5를 한 바이너리 값 중에서 '=' 라는 문자열이 나오게 되면 false + false = true 로 된다는 것입니다.

python으로 간단하게 hash를 생성하는 코드를 만들고 '=' 를 찾으면 띄워 주도록 만들었습니다.

(ascii code로 27은 싱글쿼터, 3d는 =입니다)

여러 값들이 나오게 되는데 모든 값이 false/false가 되지 않는지 전부 되지는 않고, 몇몇 값들만 됩니다.

소스 코드에 맨 아래 주석으로 id/pw가 있었고 로그인에 성공하면 key값을 띄워주는 문제입니다.

SQL Injection을 이용하고 싶지만 mysql_real_escape_string()으로 싱글쿼터 앞에 \를 붙이기 때문에 사용하지 못합니다.

또한 우회 기법인 %a1~%fe를 싱글쿼터 앞에 붙여서 특정 문자열을 만드는 방법도 mysql_query("set names utf8")인 환경이기에 불가능 합니다.

SQL Injection 문제는 아니므로 다른 방식으로 풀어야 합니다.

이때 주목해야 할 상황은 php환경이라는 점이며 php는 대소문자 구분을 하지 못한다는 것을 알아야 합니다.

일반적으로 guest/guest로 로그인을 하면 아래와 같은 메시지가 나오게 됩니다.

하지만 php환경에서 대소문자 구분을 하지 않기 때문에 GUEST/guest라고 입력을 해도 로그인에 성공하며

$id=='guest' 부분도 대문자이기에 통과할 수 있습니다.

갤로그 같은 게임이 하나 나오게 됩니다.

게임을 깨기 위한 점수로 31337점이라는 터무니 없는 점수를 요구합니다.

열심히 해도 30점을 넘기기 쉽지 않으니 다른 해결 방법을 찾아야 합니다.

소스를 확인해보면 packed된 javascript를 발견할 수 있습니다.

javascript unpacker 사이트에서 unpack을 해보면 아래와 같은 코드를 얻을 수 있습니다.

해당 코드는 게임을 진행하기 위한 정보가 있으며, 물론 점수에 관한 내용도 있을 것입니다.

그중 변수를 선언하는 var _0x32bb 를 먼저 확인 해봅니다.

모두 hex코드로 변환되어 있으니 python을 이용하면 간단하게 확인할 수 있습니다.

유심히 보면 %score= 라는 부분이 신경 쓰입니다.

_0x32bb[43]이 해당 부분이고 소스 코드에서 찾아보면 아래 부분에 있습니다.

_0x32bb[2] 부분이 score라는 것을 알 수 있고 찾아가 봅니다.

_0x32bb[2]은 _0x8618x7() 함수의 값을 가져오고, _0x8618x7() 함수는 _0x8618x6의 값을 return 합니다.

해당 값이 0으로 설정이 되어서 게임을 시작할 때 0점으로 시작하게 됩니다.

해당 값을 31337로 설정해 두고 console에 javascript를 실행하면 게임이 시작할 때 31337점으로 시작해 게임을 클리어 할 수 있습니다.

QR CODE PUZZLE 게임이 있습니다.

다 맞추면 되는지도 모르는 문제를 푸는 것은 의미가 없습니다..

소스를 확인해 보시면 함수가 있는데 unescape()로 의심이 가는 문구가 있습니다.

URL 인코딩 되어있어 디코딩을 해보면 URL이 하나 나오게 되고 해당 URL로 이동하면 완성된 QR CODE가 나오게 됩니다.

해당 QR CODE를 QR CODE READER로 읽어보면 또 하나의 URL이 나오고 해당 URL에는 KEY값이 있습니다.