Study_IT

문제를 보면 str_replace() 함수로 admin 이라는 문자열을 필터링 하고 있다. str_replace() 함수는 해당 문자열 패턴이 있으면 치환하는 것으로 이 문제에서는 admin이라는 문자열을 없는 값으로 치환한다.  adadminmin으로 값을 주면 adadminmin 빨간색 부분이 치환되도, admin 이라는 값이 남아서 필터링을 우회할 수 있다.

payload : /?id=adadminmin

<?php
	isset($var);
	isset($var1, $var2, $var3);
?>

괄호 안의 변수가 설정 되어있는지 확인한다. 설정 되어있으면 true를, 설정되어 있지 않으면 false를 반환한다.

여러개의 변수를 인자로 받으면 모든 변수가 설정되어 있어야 true를 반환한다.

<?php
    try{
        $con = new PDO('mysql:host=localhost;dbname=php_board', 'root', 'password');
        $con->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    }catch(PDOException $e){
        echo "fail" .$e->getMessage() .', where: ' .$e->getFile() .':' .getLine();
    }
    // PDOException : PDO에서 발생한 오류
    // getMessage() : 예외 메시지 반환
?>

PHP 정보와 설정값등을 보여준다.

<?php phpinfo(); ?>

문제 설명을 보면 간단한 비교 문제이고, 힌트는 이 문제의 제목이라고 한다.

문제 페이지를 보면 입력창만 하나가 있다.

소스코드를 보면 post 방식으로 입력받고 있는데,

json_decode() 함수로 입력 받은 값을 json 값으로 바꿔준다.

key 값이 true면 flag를 출력하는 것 같다.

post 방식으로 입력받기 때문에 프록시 툴을 이용해서 입력 값을 가로채주면 다음과 같은 값이 나온다.

이 값은 url 인코딩 된 값이기 때문에 decode 해주면 다음과 같이 {"key":"123"} 의 값이 나온다.

저 값에서 123을 true로 바꾼후 값을 전달해 주면 flag를 얻을 수 있다.

true는 문자열이 아닌 boolean형 자료형이기때문에 "값인 %22도 함께 삭제해야 한다.

알게된 점 : json 관련 취약점, php json_decode() 함수

문제 설명을 보면 비교를 하는데 다른 값으로 해야 한다는 것 같다. 

문제 페이지를 보면 두 개의 값을 입력받는다. 

소스 코드를 확인해 보면 v1과 v2의  md5 값이 같으면 문제를 해결할 수 있는데

ctype_alpha() 함수로 v1이 알파벳인지 검사하고, is_numeric() 함수로 v2가 숫자인지 검사한다.

php md5 비교에서 두 md5 해시값의 앞부분이 0e로 같은 값을 가지면 참을 반환하는 취약점이 있다.

이러한 값을 가지는 알파벳과 숫자는 QQNKCDZO 와 240610708 가 있다.

이러한 취약점을 막기 위해서는 === 연산자를 사용하는 방법이 있다.

알파벳 값을 v1(첫번째)에 넣고 숫자 값을 v2(두번째)에 넣으면 flag를 얻을 수 있다.

알게된 점 : php md5함수에서 비교 취약점과 보안방안, php ctype_alpha()함수, is_numeric() 함수

문제 설명을 읽어보면 strcmp 함수를 우회할 수 있다면 플래그를 얻을수 잇다고 한다.

문제 페이지에 들어가 보면 password 를 입력할 수 있는 창이 있다.

소스코드를 보면 다음과 같이 strcmp 함수를 이용하여 password 값을 확인하고 있다.

strcmp 함수는 strstrcmp($a,$b)를 실행할 때 a가 작으면 음수, a가 크면 양수, a와 b가 같으면 0을 반환하는데,

0이 반환되면 암호 비교 구문이 우회되고 배열을 인자로 가지면 무조건 0을 반환하는 취약점이 있다.

따라서 password변수를 배열로 지정해 주면 해당 비교문을 우회할 수 있다.

위와 같이 문제 페이지에서 input password를 배열로 바꿔준 후 값을 입력하면 플래그를 얻을 수 있다.

알게된 점: strcmp 함수 취약점

문제 설명을 보면 md5 함수가 나와 있다.

문제 페이지를 보면 password를 입력하는 입력란이 있고, 페이지 소스 코드를 볼 수 있다.

소스 코드를 보면 md5 함수에서 취약점이 발생한다.

md5  함수 옵션의 기본값은 false 인데, true 옵션을 사용하게 되면 해시 값을 바이너리 형식으로 반환하게 된다.

또한 sql에서 패스워드의 값이 '=' 의 형태로 들어가게 되면 참 으로 인식하고, php내에서는 md5 해시한 값이 바이너리 형식으로 인식하기 때문에 어떤 값을 md5 해시한 결과가 '=' 인 값을 찾아야 한다.

파이썬으로 코딩해서 찾아보면 1839431 이라는 값을 찾을 수 있다.

import hashlib

 

for i in range(0,1000000000):

    if b"'='" in hashlib.md5(str(i).encode()).digest():     # bytes형태로 바꿈

        print('Found: {}'.format(i))

찾은 값을 문제 페이지의 password 값을 입력하면 flag를 얻을 수 있다.

알게된 점 : php에서 md5함수의 옵션이 true로 설정되게 되면 취약점이 발생한다.

md5함수의 기본값 옵션은 false 이다. 

문제 설명을 보면 계정을 가지고 있는데 계정이 막혀 있어서 어떻게 필터링을 우회할 수 있는지 묻고 있다.

페이지에 들어가 보면 id와 password를 입력할 수 있는 입력창이 나오고, 페이지의 소스 확인도 할 수 있다.

소스코드의 위 부분에서 아이디가 guest 거나 blueh4g면 계정이 잠겼다고 출력하고, 저 두 계정이 아니라면 login에

성공하고, key를 출력한다.

소스코드의 아래 부분을 보면 guest와 blueh4g라는 계정의 password도 확인할 수 있다.

또한 위 소스코드 에서는 로그인을 위해 mysql을 사용한다.

mysql 에서는 대소문자를 구분하지않지만, php에서는 대소문자를 구분하게 되어

mysql 에서는 GUEST == guest 이지만 php 에서는 guest != GUEST이기 때문에 

id : GUEST / pw : guest를 입력하면 flag를 확인할 수 있다.

알게된 점: mysql 에서는 대소문자 구분을 하지 않는다. 이로 인한 인증 관련 취약점이 발생할 수 있다.

문제를 보면 힌트에 base64가 있고, index.phps로 들어갈 수 있다.

index에 들어가보면 php 코드들이 있는데 

이 부분을 보면 base64로 20번 인코딩 되어 있는 것을 확인 할 수 있다.

쿠키값을 보게되면 base64로 인코딩 되어 있는 것을 볼 수 있다.

그리고 php코드의 아랫부분을 보면 

디코드 한 아이디와 패스워드의 값이 admin이면 문제가 해결되는 것 같다.

admin을 base64로 20번 디코딩 하면 다음과 같은 값이 나온다.

이 값을 user과 password의 쿠키 값에 넣으면 문제가 해결된다.