'웹 해킹/드림핵' 카테고리의 글 목록

웹 해킹/드림핵

[드림핵] web-ssrf 문제 풀이 2025.03.13
[드림핵] KTX Notes 풀이(Directory Traversal) 2025.03.04
[드림핵] Tomcat Manager 풀이 2024.10.29
[드림핵] [wargame.kr] tmitter 풀이 2024.10.29
[드림핵] CSP Bypass Advanced 풀이 2024.09.02 1

[드림핵] web-ssrf 문제 풀이

갱스림 2025. 3. 13. 13:23

2025. 3. 13. 13:23

특정 경로를 입력하면 요청을 보내서 해당 경로의 파일을 보여주는 웹 페이지다.

ssrf 취약점이 존재할 것 같다.

- 웹 서버가 사용자가 입력한 요청을 직접 내부 서버로 보낼 수 있을 때 발생하는 취약점

문제 파일 확인

1) flag 위치는 /flag.txt

2) 입력 값에 localhost나 127.0.0.1 문자열이 있을 경우 error.png를 반환한다. (필터링)

3) locla 포트는 1500~1800의 정수 중 랜덤한 값이다.

localhost, 127.0.0.1 필터링을 우회하기 위해,

localhost를 대문자로 입력하여 요청을 보냈다.

필터링되지 않고 정상적으로 파일이 읽어지는 것을 확인

flag 파일은 1500~1800 사이의 정수인 로컬 포트에 존재하기 때문에

버프 스위트 intruder로 자동화 공격을 수행

길이가 다른 응답 탐색 성공

base64로 인코딩된 data가 출력됨

Decoder로 디코딩하면 flag를 얻을 수 있다

'웹 해킹 > 드림핵' 카테고리의 다른 글

[드림핵] KTX Notes 풀이(Directory Traversal) (0)	2025.03.04
[드림핵] Tomcat Manager 풀이 (0)	2024.10.29
[드림핵] [wargame.kr] tmitter 풀이 (0)	2024.10.29
[드림핵] CSP Bypass Advanced 풀이 (1)	2024.09.02

[드림핵] KTX Notes 풀이(Directory Traversal)

갱스림 2025. 3. 4. 11:27

2025. 3. 4. 11:27

문제 코드 분석 ㄱ

간단한 파일을 생성하고 다운로드하는 웹 페이지 같다.

save 및 download 엔드포인트에서 filename 값을 그대로 os.path.join()을 사용하여 파일 경로를 만들고 있다.

이 경우, 사용자가 ../../../etc/passwd 같은 값을 입력하면 filepath가 /etc/passwd와 같은 시스템 파일로 변경될 수 있다.

☞ 디렉터리 트래버설 (Directory Traversal) 취약점

이 취약점을 사용해서 passwd 파일을 다운로드 시도

etc/passwd 파일이 정상적으로 다운로드 된 것을 확인

flag 파일의 경로를 몰라서 여러 시도를 해봤다

플래그 획득!

'웹 해킹 > 드림핵' 카테고리의 다른 글

[드림핵] web-ssrf 문제 풀이 (0)	2025.03.13
[드림핵] Tomcat Manager 풀이 (0)	2024.10.29
[드림핵] [wargame.kr] tmitter 풀이 (0)	2024.10.29
[드림핵] CSP Bypass Advanced 풀이 (1)	2024.09.02

[드림핵] Tomcat Manager 풀이

갱스림 2024. 10. 29. 15:32

2024. 10. 29. 15:32

문제

간만에 재밌는 문제였다.

풀이

문제 이름 대로 tomcat manager 페이지에 접속 시도를 했지만 아이디와 비번이 필요했다.

문제 파일의 Docker 파일에서 manager 페이지의 계정 정보가 있는 파일의 절대 경로를 확인할 수 있었다.

메인페이지의 이미지를 로드하는 방식에서 LFI 취약점을 발견했다.

LFI 취약점으로 tomcat-users.xml 파일의 내용을 확인했다.

tomcat manager 페이지의 패스워드를 알아냈다.

이제 알아낸 계정으로 tomcat manager 페이지에 접속한다.

파일 업로드 기능을 이용해 웹쉘을 업로드한다.

웹쉘이 정상적으로 업로드된 걸 확인할 수 있다.

웹쉘로 flag 파일을 확인해보면 실행파일인 것을 알 수 있다.

'/flag'를 입력하면 flag 파일이 실행되어 flag가 출력된다.

'웹 해킹 > 드림핵' 카테고리의 다른 글

[드림핵] web-ssrf 문제 풀이 (0)	2025.03.13
[드림핵] KTX Notes 풀이(Directory Traversal) (0)	2025.03.04
[드림핵] [wargame.kr] tmitter 풀이 (0)	2024.10.29
[드림핵] CSP Bypass Advanced 풀이 (1)	2024.09.02

[드림핵] [wargame.kr] tmitter 풀이

갱스림 2024. 10. 29. 11:15

2024. 10. 29. 11:15

문제

admin 아이디로 로그인하면 풀리는 문제인 것 같다.

id(32), ps(32) 에서 수상쩍은 냄새가 난다.

풀이

로그인 기능과 회원가입 기능이 있다.

회원가입에서 admin 계정을 생성해보려고 했지만, 중복 확인 기능이 구현되어 있어서 막혔다.

하지만 아까 문제 설명의 테이블 구조에서 id는 32 글자 이하로 정의되어 있는 것을 확인했다.

그러면 데이터가 테이블에 삽입될 때, 32글자에서 넘어가는 글자는 짤린다.

'a' * 32 + 'a' → 'a' * 32

그래서 (( admin + 공백*27 + 아무 문자 ))로 입력하면, 중복 확인 기능을 우회하고 admin 아이디로 계정을 생성할 수 있다.

그 전에 개발자도구로 maxlength 옵션을 삭제해 줘야한다.

그리고 (( admin + 공백*27 + 아무 문자 ))로 회원가입을 해주면 계정이 생성된다.

생성한 admin 계정으로 로그인을 하면 flag를 확인할 수 있다.

'웹 해킹 > 드림핵' 카테고리의 다른 글

[드림핵] web-ssrf 문제 풀이 (0)	2025.03.13
[드림핵] KTX Notes 풀이(Directory Traversal) (0)	2025.03.04
[드림핵] Tomcat Manager 풀이 (0)	2024.10.29
[드림핵] CSP Bypass Advanced 풀이 (1)	2024.09.02

[드림핵] CSP Bypass Advanced 풀이

갱스림 2024. 9. 2. 15:05

2024. 9. 2. 15:05

문제 파일

CSP 를 사용하여 XSS 공격을 방지하고 있지만, base-uri 정책이 없다.

#중략

@app.after_request
def add_header(response):
    global nonce
    response.headers['Content-Security-Policy'] = f"default-src 'self'; img-src https://dreamhack.io; style-src 'self' 'unsafe-inline'; script-src 'self' 'nonce-{nonce}'; object-src 'none'"
    nonce = os.urandom(16).hex()
    return response

#중략

@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    return render_template("vuln.html", param=param, nonce=nonce)
    
#중략

/vuln 페이지에서 응답으로 보내주는 html 코드는 아래와 같다.

Bootstrap을 사용해 간단한 고정 상단 네비게이션 바와 이미지를 포함한 웹 페이지를 구성하고 있다.

여기서 주목해야 할 부분은 /static/js/jquery.min.js, /static/js/bootstrap.min.js에서 자바스크립트 파일을 불러온다는 것이다.

<!doctype html>
<html>
  <head>
    <link rel="stylesheet" href="/static/css/bootstrap.min.css">
    <link rel="stylesheet" href="/static/css/bootstrap-theme.min.css">
    <link rel="stylesheet" href="/static/css/non-responsive.css">
    <title>Index CSP-Bypass-Advanced</title>
    
  
  <style type="text/css">
    .important { color: #336699; }
  </style>

  </head>
<body>

    <!-- Fixed navbar -->
    <nav class="navbar navbar-default navbar-fixed-top">
      <div class="container">
        <div class="navbar-header">
          <a class="navbar-brand" href="/">CSP-Bypass-Advanced</a>
        </div>
        <div id="navbar">
          <ul class="nav navbar-nav">
            <li><a href="/">Home</a></li>
          </ul>

          <ul class="nav navbar-nav navbar-right">
          </ul>

        </div><!--/.nav-collapse -->
      </div>
    </nav>

    <div class="container">
      
  <img src=https://dreamhack.io/assets/img/logo.0a8aabe.svg>

    </div> <!-- /container -->

    <!-- Bootstrap core JavaScript -->
    <script src="/static/js/jquery.min.js" nonce=fd084e469385def08569d21601b06e28></script>
    <script src="/static/js/bootstrap.min.js" nonce=fd084e469385def08569d21601b06e28></script> 
</body>
</html>

풀이

base-uri 정책이 없으면 <base> 태그를 이용해 URL 기반의 공격을 할 수 있다.

<base> 태그는 HTML 문서의 상대 경로 기반 URL의 기준을 설정하는 데 사용되며, 모든 상대경로가 해당 URL을 기준으로 해석되고 원하는 경로로 연결된다.

/vuln 페이지에서 /static/js/jquery.min.js, /static/js/bootstrap.min.js 의 자바스크립트 파일을 불러오기 때문에

내 서버에 /static/js/jquery.min.js 또는 /static/js/bootstrap.min.js 파일을 만들고
<base> 태그로 내 서버를 기준 URL로 지정하면 악성 스크립트가 실행될 수 있게된다.

먼저 서버를 만들어 준다. 나는 깃허브로 만들어 주었다.

참고 - https://dnight.tistory.com/entry/GitHubio-%ED%8E%98%EC%9D%B4%EC%A7%80-%EB%A7%8C%EB%93%A4%EA%B8%B0

1. 해당 서버에 /static/js 폴더를 만들고, jquery.min.js 파일을 생성한다.

2. 이제 /flag 페이지에 <base href='[내 서버]'> 를 입력하여 제출하면 flag를 얻을 수 있다.

'웹 해킹 > 드림핵' 카테고리의 다른 글

[드림핵] web-ssrf 문제 풀이 (0)	2025.03.13
[드림핵] KTX Notes 풀이(Directory Traversal) (0)	2025.03.04
[드림핵] Tomcat Manager 풀이 (0)	2024.10.29
[드림핵] [wargame.kr] tmitter 풀이 (0)	2024.10.29

PREV 이전 1 NEXT 다음

파이트해커