보호되어 있는 글입니다.

pwd : 현재 경로가 출력된다 cd .. : 한단계 위로 이동한다. cd [디렉토리명] : 해당 디렉토리로 이동한다. cd / : 최상위 디렉토리로 이동 mkdir [디렉토리명] : 디렉토리를 만든다. rmdir [디렉토리명] : 디렉토리를 삭제한다. cp 파일1 파일2 : 파일1을 파일2라는 이름으로 복사한다. rm 파일명 : 파일을 삭제한다. mv 파일1 파일2 : 파일1을 파일2로 복사된뒤 1이 삭제된다. 파일 이름을 변경할 때 많이 쓰인다.

시작하기 전 환경 셋팅 : 나의 경우에는 vmware가상머신과 Xshell을 이용한다. 검색하면 설명 해주시는 분들이 많아서 따로 설명을 적지 않겠다. putty를 많이 사용하던데 개인적으로는 Xshell이 더 보기 편해서 이걸 사용한다. 각자 편한대로 설정해주면 될 듯. trainer1으로 접속해주면 이런 화면이 나온다. 처음 비밀번호는 welcome이다. 처음엔 프롬프트와 ls 명령어에 대한 설명이 나온다. ls : 디렉토리와 파일을 보여준다. ls -l : -l옵션을 사용하면 디렉토리와 파일을 구분하여 출력하게 된다. 간단한 퀴즈가 나온다. 앞이 d이면 디렉토리 -이면 파일 ls -a : 숨겨진 파일을 볼 수 있음 숨겨진 파일은 파일명 가장 앞부분에 .이 들어가있는 특징이 있다. 비밀번호는 올리지 ..

우선 사이트에 접속하고 파일도 다운받았다. 파일은 파이썬 파일이었다. 차례대로 눌러보니 첫번째메뉴 vuln(csrf) page는 취약점을 알려주는 페이지다. @app.route("/vuln") def vuln(): param = request.args.get("param", "").lower() xss_filter = ["frame", "script", "on"] for _ in xss_filter: param = param.replace(_, "*") return param @app.route() : 외부 웹브라우져에서 웹서버로 접근 시 해당 주소로 입력을 하게 되면 특정 함수가 실행되게 도와줌. request.args : url 파라미터의 값을 키 = 밸류 쌍으로 가진 딕셔너리 xss_filter에 ..

소스를 먼저 살펴봐야 할 것 같다. 첫번째 파일 부터 살펴보겠다. serialize() : php변수들을 배열로 만들어 주는 함수, get, post방식으로 넘어온 배열값을 직렬화 시키는데 사용된다. unserialize() : 직렬화된 배열을 다시 php변수로 바꾼다. sql에서 serialize를 사용하는 방법에 대한 링크를 봐서 보고 공부했다... https://blog.sonarsource.com/php-object-injection?redirect=rips PHP Object Injection A very common and critical vulnerability in PHP applications is PHP Object Injection. This blog post explains how ..

sql 인젝션임을 알려주고 시작한다. 먼저 view source를 눌러 읽어보았다. 내가 활용할 수 있을만한 부분을 찾아보니 쿠키에 관련된 소스들이 있었다. function read_chk부터 살펴보겠다. strpos() : 첫번째 인자로 오는 문자열에서 두번째 인자로 오는 문자열의 위치를 반환하는 함수다. "/".$idx : php에서 문자열 사이에 .은 두 문자열을 합치는 것. view라는 쿠키에 /$idx 가 존재한다면 true를 반환하고 존재하지 않는다면 false를 반환한다. 다음 function inc_hit을 살펴보면 update문이 실행되어 table의 hit의 숫자를 하나 증가시키고 $view에는 view쿠키/$idx 의 값을 넣는다. setcookie() : 참고한 링크 https://..

NoSQL을 사용하고 hidden user를 찾아야하는 문제다. 임의의 닉네임과 패스워드를 입력하자 이런 화면이 나왔다. NoSQL에서 [$ne]는 !=를 뜻한다. test가 틀린 유저네임과 패스워드라면 test가 아닌 다른 디비는 어떤게 있는지 검색하는 방향으로 가야할거 같다. login과 pass가 get방식으로 전달되고 있으므로 url을 통해 작성해주었다. 그러자 admin으로 커넥트할수 있다고 한다. 하지만 admin은 hidden user는 아닐듯하다. 이번엔 아까와 같은 방식으로 admin이 아닌 정보가 무엇이 있는지 찾아보았다. 앗 내가 임의로 입력했던 test가 또 다른 user인듯 하다. 하지만 아까 test와 test로 로그인을 시도했을때 틀렸다고 했으므로 패스워드 부분을 바꿔서 검색하..

블라인드 SQL 인젝션을 이용한 문제 힌트를 보면 guest / geust 그리고 나의 목표는 admin의 비밀번호를 알아내는 것이라고 한다. guest를 입력하자 ok guest라고 잘 나오는것을 확인 이번엔 admin에 임의의 비밀번호를 입력해보겠다. 틀렸을때는 False라고 나온다. 이제 쿼리문을 입력해볼건데 우선 필터링되는 키워드에 and는 없으므로 and를 이용해보겠다. admin' and len(pw)=1--를 입력해 1부터 차례대로 길이를 알아내기 위해 진행하겠음. 쿼리문을 통해 알아낸 결과 패스워드의 길이는 10이다. 이를 바탕으로 파이썬프로그램을 짜보았다. import requests url = "http://suninatas.com/challenge/web22/web22.asp" s =..

SQL인젝션과 유사하게 원하는 데이터를 가져올 쿼리를 삽입한다. 하지만 블라인드 SQL인젝션의 경우 데이터를 바로 가져오는 것과 다르게 쿼리가 참일때와 거짓일때 서버의 반응으로 데이터를 얻어야 한다. 참인 반응을 보이는 데이터를 한 글자씩 얻어와서 합치는 방식을 이용한다. 가져와야 하는 데이터가 클 경우에는 자동화 툴을 쓰면 편하다. 알아내려는 데이터의 길이를 파악하는게 일반적이다. SQL의 len()함수를 이용한다. MSSQL : len() Oracle, MySQL : length() (참고 사항: 주석 #의 경우에는 MySQL에서만 사용이 가능하다 --를 이용) 쿼리문에서 len(변수명등) = n-- 과같이 입력을 해주면 해당 문자열의 길이가 n이라면 참 아니라면 거짓이 나올것이다. substr()의..

User-Agent의 내용 뭔가 익숙하다. PHP의 $_SERVER변수를 공부할 때 나왔던 내용 우선 플러스 버튼을 누르면 Point숫자가 계속해서 올라간다. 소스코드의 힌트를 우선 보겠다. 직접 플러스 버튼을 눌러 50포인트를 만들어보려고 했다. 25포인트에서 더 이상 올라가지 않고 이 창이 뜨게 된다. 역시나 직접 눌러서 포인트를 50으로 만드는 방법은 아닌듯하다. 그리고 경고창에서 얻을 수 있는 힌트 한가지 더 SuNiNaTaS 브라우저를 좋아한다고 한다. User-Agent의 값도 SuNiNaTaS로 바꿔줘야 할것 같다. post방식으로 값이 전달되고 있으며 submit역할을 하는 버튼은 Plus버튼이다. web04_ck.asp로 값이 전달되고있는데 즉 플러스를 눌러서 포인트를 증가할때마다 문제페..