btr95

strcmp에 관한 문제입니다.

strcmp에 취약점이 있는 문제로 해당 취약점을 알아야 풀 수 있습니다.

지금 $password는 rand()함수로 인해 값이 계속 변해서 정확한 password는 알 수 없습니다.

strcmp(a,b) 함수의 역할은 a가 작으면 음수, b가 작으면 양수, 같으면 0을 반환해주는 함수입니다.

0을 반환해야 문제가 풀리기 때문에 배열과 비교를 하면 0의 값을 띄워주는 취약점을 이용하면 됩니다.

 POST 방식으로 값이 날라가기 때문에 burp suite를 사용해 중간에 값을 바꿔줍니다.

password=1로 보내는 게 아니라 password[]=1로 보내서 배열 형식으로 보내주면 배열과 문자열을 비교하여 0의 값을 반환합니다.

[참고]

[PHP] strcmp 취약점을 이용한 인증 우회: http://hackability.kr/entry/PHP-strcmp-%EC%B7%A8%EC%95%BD%EC%A0%90%EC%9D%84-%EC%9D%B4%EC%9A%A9%ED%95%9C-%EC%9D%B8%EC%A6%9D-%EC%9A%B0%ED%9A%8C

보통 md5('value')로 hash값을 만들면 32자리 hex값으로 나오게 됩니다.

하지만 md5('value', true)로 hash값을 만들면 16자리 바이너리 형태로 나오게 됩니다.

바이너리 형태로 나오게 되면서 취약점이 발생합니다.

password='aaa'='bbb' 라는 식은 password='aaa' 부분이 false, bool 연산의 문자열은 false이기에 'bbb'도 false가 나와

true로 query가 작동하게 됩니다.

그렇다면 md5를 한 바이너리 값 중에서 '=' 라는 문자열이 나오게 되면 false + false = true 로 된다는 것입니다.

python으로 간단하게 hash를 생성하는 코드를 만들고 '=' 를 찾으면 띄워 주도록 만들었습니다.

(ascii code로 27은 싱글쿼터, 3d는 =입니다)

여러 값들이 나오게 되는데 모든 값이 false/false가 되지 않는지 전부 되지는 않고, 몇몇 값들만 됩니다.

소스 코드에 맨 아래 주석으로 id/pw가 있었고 로그인에 성공하면 key값을 띄워주는 문제입니다.

SQL Injection을 이용하고 싶지만 mysql_real_escape_string()으로 싱글쿼터 앞에 \를 붙이기 때문에 사용하지 못합니다.

또한 우회 기법인 %a1~%fe를 싱글쿼터 앞에 붙여서 특정 문자열을 만드는 방법도 mysql_query("set names utf8")인 환경이기에 불가능 합니다.

SQL Injection 문제는 아니므로 다른 방식으로 풀어야 합니다.

이때 주목해야 할 상황은 php환경이라는 점이며 php는 대소문자 구분을 하지 못한다는 것을 알아야 합니다.

일반적으로 guest/guest로 로그인을 하면 아래와 같은 메시지가 나오게 됩니다.

하지만 php환경에서 대소문자 구분을 하지 않기 때문에 GUEST/guest라고 입력을 해도 로그인에 성공하며

$id=='guest' 부분도 대문자이기에 통과할 수 있습니다.

갤로그 같은 게임이 하나 나오게 됩니다.

게임을 깨기 위한 점수로 31337점이라는 터무니 없는 점수를 요구합니다.

열심히 해도 30점을 넘기기 쉽지 않으니 다른 해결 방법을 찾아야 합니다.

소스를 확인해보면 packed된 javascript를 발견할 수 있습니다.

javascript unpacker 사이트에서 unpack을 해보면 아래와 같은 코드를 얻을 수 있습니다.

해당 코드는 게임을 진행하기 위한 정보가 있으며, 물론 점수에 관한 내용도 있을 것입니다.

그중 변수를 선언하는 var _0x32bb 를 먼저 확인 해봅니다.

모두 hex코드로 변환되어 있으니 python을 이용하면 간단하게 확인할 수 있습니다.

유심히 보면 %score= 라는 부분이 신경 쓰입니다.

_0x32bb[43]이 해당 부분이고 소스 코드에서 찾아보면 아래 부분에 있습니다.

_0x32bb[2] 부분이 score라는 것을 알 수 있고 찾아가 봅니다.

_0x32bb[2]은 _0x8618x7() 함수의 값을 가져오고, _0x8618x7() 함수는 _0x8618x6의 값을 return 합니다.

해당 값이 0으로 설정이 되어서 게임을 시작할 때 0점으로 시작하게 됩니다.

해당 값을 31337로 설정해 두고 console에 javascript를 실행하면 게임이 시작할 때 31337점으로 시작해 게임을 클리어 할 수 있습니다.

QR CODE PUZZLE 게임이 있습니다.

다 맞추면 되는지도 모르는 문제를 푸는 것은 의미가 없습니다..

소스를 확인해 보시면 함수가 있는데 unescape()로 의심이 가는 문구가 있습니다.

URL 인코딩 되어있어 디코딩을 해보면 URL이 하나 나오게 되고 해당 URL로 이동하면 완성된 QR CODE가 나오게 됩니다.

해당 QR CODE를 QR CODE READER로 읽어보면 또 하나의 URL이 나오고 해당 URL에는 KEY값이 있습니다.

해당 문제를 시작하면 마우스의 이동에 따라 눌러야 될 버튼도 같이 이동하게 됩니다.

소스를 확인해 보면 해당 버튼을 눌렀을 때 이동하게 되는 URL이 나오게 됩니다.

해당 URL로 이동하면 키 값이 보이게 됩니다.

HTTP Response header를 볼 수 있는지 물어봅니다.

문제를 시작하면 이미 key를 얻었다고 합니다.

HTTP Response header는 말 그대로 요청에 대한 응답 header를 확인해야 합니다.

그러기 위해서 Chrome의 기능을 이용하면 해결할 수 있습니다.

F12를 누르고 Network 부분으로 가서 카메라 모양을 누르면 capture가 가능합니다.

이 후 F5키를 눌러 새로 고침 후 확인해보면 아래와 같이 key값이 보이게 됩니다.

앞선 문제와 달리 상당한 길이여서 혼란스러운 문제이지만 간단하게 동작하는 내용은

로 구문을 해석 할 수 있습니다.

여기서 중요한 사항은 우리가 공격할 수 있는 injection point는 update구문 뿐이며 올바른 값을 입력하지 않으면 매번 값이 바뀐다는 것입니다.

아무거나 입력하면 아래와 같이 "reset ok"라고 나오면서 flag값이 변하기 때문에 주의해야 합니다.

생각해 볼 수 있는 사항

blind sql injection을 통해 update문을 injection 하면 되는 문제입니다.

하지만 어떠한 정보도 내주지 않고 있고, error도 나오지 않으니 Time-base blind sql injectioin으로 문제를 해결해야 합니다.

그리고 update문이 실행이 되지 않게 하기 위해서 (select 1 union select 2)를 통해 error를 발생 시켜야 합니다.

time-base로 하려면 sleep()을 이용해서 몇 초간 응답에 따라서 참/거짓을 알 수 있습니다.

참/거짓을 구분하기 위한 조건문이 필요한데 if문은 ','가 필요해서 case when으로 대체 할 수 있었습니다

substr에도 ','가 필요하지만 flag from 1 for 1을 하면 첫번째 문자를 가져오게 됩니다..

알아낸 정보를 가지고 Python code를 작성하면 아래와 같습니다.

[참고]

case when: http://www.gurubee.net/lecture/1028

HINT: 

http://security04.tistory.com/170

http://rls1004.tistory.com/33

iron_golem 문제처럼 Error Base Blind SQL Injection입니다.

하지만 if와 case/when을 필터링하여 조건문으로 풀지 못하게 했습니다.

또한 error massage도 띄어주지 않네요 ~_~

이번에는 order by를 이용해서 문제를 해결하려고 합니다.

[order by를 이용한 풀이]

' or 1 order by (select 1 from (select 1 union select 2)m where id='admin' and length(pw)=1)%23

3가지 항목에 주목하셔야 합니다.

ⓐ order by: 특정 순서 혹인 정렬을 위한 SQL 입니다.

ⓑ select 1 union select 2: Error를 유발하기 위한 구문

ⓒ length(pw): pw의 길이를 구할 구문 (이후 pw도 구함)

[ select 1 from (select 1 union select 2)m where 1=1 ]을 하게 되면 아래와 같이 행이 2개가 출력 되고,

[ select 1 from (select 1 union select 2)m where 1=2 ]을 하게 되면 아래와 같이 거짓으로 아무것도 나오지 않습니다.

⑴ length(pw) 가 참 일 경우)

Subquery에서 행 2개 출력 → order by 구문에서 Error → if(mysql_error()) exit(); 로 인해 빈 창으로 이동

⑵ length(pw) 가 거짓 일 경우)

Subquery에서 결과 x → order by 구문에서 정상 진행 → if(mysql_error()) exit(); 통과 후 echo 실행

어떻게 풀어야 할지 알았으니 Python으로 풀어봅니다.

id='admin'을 추가한 이유는 guest의 값이 나올 수 있기에 사용했습니다.

[참고]

에러기반 블라인드 인젝션: http://blog.naver.com/PostView.nhn?blogId=dmbs335&logNo=200000287070&parentCategoryNo=&categoryNo=67&viewDate=&isShowPopularPosts=true&from=search

Blind sql injection: https://github.com/solmonk/writeup/blob/master/blind.md

이번 문제를 보시면 mysql_error() 라는 항목이 추가되었고 항상 보여주던 "Hello ~~~~"가 없어졌습니다.

형식을 보면 blind sql injection이 분명한데 어떻게 참 거짓을 구분해야 할까요?

Injection 중에 별로 신경은 안 썼지만 Error Base SQL Injection이라는 기술이 있습니다.

mysql_error() 함수를 통해서 Query의 오류를 통해서 비밀번호를 하나씩 찾아낼 수 있습니다.

우선 평소처럼 blind sql injection이 되는지 확인하기 위해 다음과 같이 입력해도 참/거짓을 판단할 수 없기 때문에 의미가 없습니다.

일부러 구문 오류를 내봅니다. '(single quarter) 하나만 전송해보면 다음과 같이 error 문구가 나오게 됩니다.

이 error 문구를 이용해서 문제를 푸실 수 있습니다.

Error Base Blind SQL Injection에 대한 내용을 찾다가 몇 가지 Payload를 알게 되었습니다.

(출처: dmbs님의 블로그, URL 하단 표기)

그 중에 조건문을 이용해서 문제를 풀어봤습니다.

if(조건, 참일 때 실행, 거짓일 때 실행)를 이용하면 조건문에 우선 1=1 이라는 참 값을 놓고 확인해 봅니다.

해당 Query는 참이기 때문에 Error가 표시가 안됩니다.

하지만 조건식에 1=2 라고 표시하고 전송하면 다음과 같이 subquery의 결과 1개가 리턴 됐다고 나오게 됩니다.

해당 문구가 나오면 실패한 것이니 우선 pw의 길이를 찾아봅니다.

찾아보시면 16자리가 나오게 되지만 전 문제와 동일하게 1글자가 4byte인 Unicode로 되어있었습니다.

그렇게 총 4글자의 Unicode라는 것을 알게 되었으니 Python을 이용해서 풀어봅니다.

앞선 문제와 달라진 구문은 find()를 사용할 때 "Subquery returns more than 1 row"로 하고 못 찾을 때라 "<0"라고 합니다.

(한글 인코딩이 안되어 있어 주석을 지우고 실행해야 합니다)

[참고]

에러기반 블라인드 인젝션: http://blog.naver.com/PostView.nhn?blogId=dmbs335&logNo=200000287070&parentCategoryNo=&categoryNo=67&viewDate=&isShowPopularPosts=true&from=search