☁️ Guleum LAB

20 번째 문제인 "Dragon"입니다. if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~"); 쿼리문을 입력받아 실행하게 해주는 변수는 GET [pw]이며 필터링하고 있는 문자열은 / _ . () 상대적으로 적어서 까다로워 보이지 않습니다. $query = "select id from prob_dragon where id='guest'# and pw='{$_GET[pw]}'"; 입력되는 쿼리 문을 보면 id='guest'로 지정되어 있으며 바로 앞에 "#(주석)" 이 있기 때문에 "pw" 값에 입력된 구문들을 모두 무효 처리하고 있습니다. if($result['id'] == 'admin') solve("dragon"); 문제를 해결하기 ..

전단 계와는 다른 게 링크 태그 기능이 사용되고 있지 않은 것을 확인할 수 있습니다. 페이지 소스를 보면서 한번 확인해보겠습니다. 전 단계에서 사용한 코드를 삽입해본결과 기본적인 삽입 형태가 아닌 논리 연산자가 사용되고 있습니다. 고정 소스로 .. .. www.sudo.co.il/xss/level8.php?p=" }else{ " a의 변수에 "(더블 쿼터)를 하나만 넣어 a = "" 변수를 마무리해주고 " } "를 통해 닫아주면 참일 경우의 코드 영역은 끝이 나게 됩니다. if조건문의 경우 else(거짓) 또는 FALSE 도 함께 추가해주면 b ≠ 2 즉 b 가 2와 같지 않을 때의 문장을 읽어 들이게 됩니다.(b = 1 이 고정) 이제 기반은 다져 놨으니 팝업창을 실행하기만 하면 됩니다. 하지만 위에서..

엄청 까다로웠던 "xavis" 문제입니다. 처음 봤을 때는 레벨 난이도 치고는 너무 쉬운 문제인 거 같아서 쉬어가는 타임인 줄 알았으나 정답이 전혀 나오지가 않았습니다. 쿼리문을 "참"으로 만들어서 패스워드 길이를 유추하여 12자리인것을 알아내고 한 던데로 burp suite를 통해 값을 하나씩 대입해서 결과를 얻어내려고 ascii 코드를 돌려봤지만 도출된 값은 전혀 없고 과부하가 걸려 도중에 멈추게 되었습니다. 문제 접근 방식부터 출제자의 의도를 모르겠어서 힌트르 보면서 시작했습니다. 힌트 1. 패스워드가 숫자, 알파벳, 특수문자 가 아님 2. ascii 코드로 출력시키지말고 "hex" 형태로 출력시킬것 3. 출력된 "hex" 값을 원문 형태로 decode 할것 Input Code ' or length..

18번째 문제인 "nightmare"입니다. if(preg_match('/prob|_|\.|\(\)|#|-/i', $_GET[pw])) exit("No Hack ~_~"); if(strlen($_GET[pw])>6) exit("No Hack ~_~"); "pw" 변수에는 _ . () # - 같은 기호들을 검증하고 있습니다. 또한 GET [pw]>6처럼 입력값 길이를 검증하고 있기 때문에 6글자를 넘어가면 No Hack이라는 페이지로 넘기고 있습니다. 문제 1. 우선 입력값 길이 제한을 맞춰야 하기 때문에 기본적인 "참" 구문인 or 1=1 은 불가능할 것으로 보입니다. 문제를 해결하기 위해선 if($result['id']) solve("nightmare"); 처럼 admin 이 아닌 아무런 계정으로 접근..

해당 문제의 경우 hohoho라는 문자열을 지정해두고 클릭 시 링크 태그( http://localhost/?로 넘어가도록 로직이 구성되어 있습니다. 해당 문제를 해결하기 위해선 Your_Payload 영역에 팝업창을 띄울 수 있는 문자열을 삽입해야 됩니다. .. .. hohoho!!! .. .. 몇 번의 시도를 해보면서 필터링하고 있는 패턴을 먼저 확인해야 됩니다. 자바스크립트 이벤트 핸들러인 "onmouseover"의 경우 가 삽입되어서 사용을 금지시키고 있습니다. 또한 태그가 삽입시 --> 제거를 하고 있어서 아무래도 localhost 문자열을 이어서 작성해야 될 것 같습니다. *(클로징) 등을 통해 문장을 마무리만 잘해주면 자바스크립트가 실행되는데 문제가 발생하지 않습니다. * onfocus : 수..

17번째 문제인 "zombie_assassin"입니다. $_GET['id'] = strrev(addslashes($_GET['id'])); $_GET['pw'] = strrev(addslashes($_GET['pw'])); 입력된 값을 받는 변수는 "id"와 "pw"가 있습니다. "addslashes" 함수에 의해 '(싱글 쿼터), "(더블 쿼터), \(역 슬래쉬), null의 입력값에 --> "\"를 추가해줌으로써 단순 "문자열"로 인식하게 만들어주고 있으며 "strrev" 함수가 포함되어 있어 입력받은 문자열을 앞뒤로 바꿔버리고 있습니다/ if(preg_match('/prob|_|\.|\(\)/i', $_GET[id])) exit("No Hack ~_~"); if(preg_match('/prob|_|..

16 번째 문제인 "succubus"입니다. if(preg_match('/prob|_|\.|\(\)/i', $_GET[id])) exit("No Hack ~_~"); if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~"); if(preg_match('/\'/',$_GET[id])) exit("HeHe"); if(preg_match('/\'/',$_GET[pw])) exit("HeHe"); 검증하고있는 코드를 확인해보면 preg_match 함수를 통해 " ' "(싱글쿼터) 를 필터링하고 있는데 문제는 " id " 변수와 " pw " 변수 모두검증하고 있기 때문에 우회할 수 있는 방법을 생각해봐야 합니다. $query = "select id f..