LG U+ Security Hackaton Write up

LG U+ Security Hackaton Write up

LG U+ Security Hackaton 웹 3문제 다 풀진 못했지만,, 대회가 끝나고 올라온 롸업들을 보며 다시 풀어보고 정리해보았다.1. Account Service우선 블랙박스 문제다.우선 로그인과 회원가입 기능이 있고,회원가입에서는 프로필 이미지 업로드 기능이 있다.이 부분에서 웹쉘 문제라고 바로 생각했다.우선 클라이언트단에서 js로 png를 제외한 다른 이미지 파일은 허용되지 않게 했다.하지만, burp로 아래와 같이 파일 확장자를 변경해서 request가 가능하다. 확장자와 content type도 아래와 같이 변경가능하고 내 경우에는 업로드시에는 png로 업로드를 하고 파일이름, 타입, 값을 수정해서 request를 하고 업로드가 된 응답값을 받을 수 있었다.우선 정상적으로 회원가입 성공후..

  • format_list_bulleted Hacker/WEB
  • · 2024. 11. 18.
  • textsms

[Dreamhack] - Switching Command

보호되어 있는 글입니다.

  • format_list_bulleted Hacker/WEB
  • · 2024. 11. 15.
LOS(Lord of SQLInjection) - 24번 evil wizard

LOS(Lord of SQLInjection) - 24번 evil wizard

Analysis우선 이번에는 sleep을 사용하지 못하기 때문에 단순히 score 기준으로 오름차순 내림차순 정렬을 하는 방법으로 조건을 걸어서 해볼 수 있지 않을까? 생각해봤다.그래서 아래와 같이 조건문으로 email의 길이를 구하기 위해서 반환하는 값에 따라서 테이블이 조회되는 행의 순서가 다르게 나오는 것을 확인할 수 있었다. 근데 4번째 컬럼 기준으로 정렬이 되는거일텐데,, 그래도 출력이 되더라..Solution그래서 우선 테이블에 나오는 순서가 다르기 때문에 f12(관리자 모드)로 보았을 때, 테이블에서 admin이 먼저 나올때 보여지는 태그 순서가 다르다한마디로 조건이 참일때admin 이 나오고 참이 아니면admin 즉 rubiya 위치에 있을거라는 것..이를 이용해서 길이와 email을 모두..

  • format_list_bulleted Hacker/WEB
  • · 2024. 10. 17.
  • textsms
LOS(Lord of SQLInjection) - 19번 xavis

LOS(Lord of SQLInjection) - 19번 xavis

Analysis이번에는 prob()와 regex, like가 필터링이 되어있다.우선 query로 화면에 보여지는게 두개인 것을 확인할 수 있는데,,그리고 addslashes 함수가 적용이 되어 있다. 이번에는 strrev가 적용되지 않았기 때문에 만약 ‘를 입력값으로 주면 \’으로 들어간다. 근데 이제 query로 보여지는 것은 \’로 보여지지 않고 pw=''' 이렇게 보여지기 때문에 우선 pw를 blind sql injection으로 알아낼 수 있다고 판단. 참이게 되면 hello admin이 뜰 것이기 때문!!Solution우선 아래와 같이 pw를 확인해봤는데 드디어 pw가 8자가 아니라 9자리 이상인것을 확인이번에는 12자리이다.이제 blind sql injection을 아래 코드로 시도해보았다.i..

  • format_list_bulleted Hacker/WEB
  • · 2024. 10. 11.
  • textsms
LOS(Lord of SQLInjection) - 17번 zombie_assasin

LOS(Lord of SQLInjection) - 17번 zombie_assasin

Analysis이번에도 id와 pw에 prob()를 필터링하고, strrev라는 함수와 addslashes 함수가 적용되어 있다.각 함수에 대해서 간단하게 알아보면strrev는 문자열을 뒤집는 함수addslashes는 문자열 내의 “,/와 같은 특수 문자들을 포함하고 있는 문자열에 역슬래쉬를 넣어준다.?id=’ 이렇게 입력값을 주면, 아래와 같이 들어간다. \’가 되고 strrev가 적용되는듯.이를 역이용해서 id값이 참이 되도록 해보면 될거 같다.Solution먼저 \를 id 값에 주게되면, \가 \를 문자열로 만들어버리기 때문에 더블쿼터를 입력값으로 주고 pw에 이전 문제처럼 or 1 # 값을 줘봤는데 바로 문제가 풀렸다.근데 나는 바로 풀릴줄 몰랐기 때문에… “\’ and pw=가 id 값으로 들어..

  • format_list_bulleted Hacker/WEB
  • · 2024. 10. 10.
  • textsms
LOS(Lord of SQLInjection) - 11번 golem

LOS(Lord of SQLInjection) - 11번 golem

LOS를 예전에 14개 정도 풀었었는데,, 이번에 들어가게 되는 프로젝트에 앞서 진행되는 스터디에서 빠른 시일내에 LOS를 다 풀기로 했다다시 계정을 생성해서 10번까지는 거의 막힘없이 풀었는데, 11번에서 좀 시간이 지체되서 해당 문제 정리와 blind sql injection 진행시, substr 함수와 mid 함수 사용정리도 하고자 한다.우선 golem 문제 풀이는 아래와 같다.Analysis우선 문제를 확인하면, 필터링이 prob _ . () 가 되어 있는 것을 확인할 수 있고, or and substr( =가 필터링이 된 것을 확인할 수 있다.그리고 id가 admin이고 해당 admin 계정의 pw와 일치하는 pw가 입력되어야 solve가 가능하다. blind sql injection을 통해 p..

  • format_list_bulleted Hacker/WEB
  • · 2024. 10. 2.
  • textsms