LG U+ Security Hackaton Write up

LG U+ Security Hackaton 웹 3문제 다 풀진 못했지만,, 대회가 끝나고 올라온 롸업들을 보며 다시 풀어보고 정리해보았다.1. Account Service우선 블랙박스 문제다.우선 로그인과 회원가입 기능이 있고,회원가입에서는 프로필 이미지 업로드 기능이 있다.이 부분에서 웹쉘 문제라고 바로 생각했다.우선 클라이언트단에서 js로 png를 제외한 다른 이미지 파일은 허용되지 않게 했다.하지만, burp로 아래와 같이 파일 확장자를 변경해서 request가 가능하다. 확장자와 content type도 아래와 같이 변경가능하고 내 경우에는 업로드시에는 png로 업로드를 하고 파일이름, 타입, 값을 수정해서 request를 하고 업로드가 된 응답값을 받을 수 있었다.우선 정상적으로 회원가입 성공후..