One_Blog

2022년 10월말쯤에 웹 해킹 공부를 시작해서, 2024년 2월 9일. 웹 해킹을 공부한 지 1년 3개월 쯤 되었는데, Dreamhack 웹해킹 Top 10 + 7000+스코어를 달성하게 되었다. 물론 해당 순위가 절대적인 웹 해킹 실력의 지표는 아닐 뿐더러, 나보다 점수가 낮음에도 나보다 웹 해킹을 잘하는 사람은 분명히 많을 것을 알고있다. 그럼에도 불구하고 국내 대다수 보안 전공자들이 모여있는 드림핵에서 웹 해킹 부분으로 Top10을 달성한 건 기분이 좋지 않을 수가 없었다. C언어도 모르던 고1 시절에 비하면 정말 많은 발전을 이루어낸 것 같다. 앞으로 더욱 열심히 해서 유명한 CTF에서 수상도 해보고 싶고, 좋은 기업에 취업할 수 있으면 좋겠다. 🤩 제가 푼 문제에 한해서 디스코드 one3147..

보면 file이라는 파라미터를 통해 파일을 불러와주고 있다. 그리고 hello만 썼음에도 불구하고 hello.php 파일을 가져오는 것으로 보아, 딱봐도 ?file로 보낸 값에 .php를 붙여주는 것 같았다. 한마디로 lfi 취약점은 터지는데, .php 때문에 원하는 파일을 읽지 못하는 상황인 것이다. 이럴 때는 php filter wrapper라는 아주 좋은 친구가 있다. https://book.hacktricks.xyz/pentesting-web/file-inclusion/lfi2rce-via-php-filters LFI2RCE via PHP Filters - HackTricks $convs = array('437', '500', '500V1', '850', '851', '852', '855', '8..

일단 ㅋㅋ 정석 분석과 편법을 이용한 풀이가 있다. 편법을 이용한 풀이부터 하도록 하겠다. 코드를 보면 이런식으로 파일의 타입과 이름을 가지고 검사를 하기에, 이전에 사용한 타입만 바꿔서 업로드 하는 방법으로는 풀이가 어렵다. 하지만 아직 우리가 이용할 수 있는 게 남아있다. 사람들이 올린 파일이 ./upload에 업로드되고, 사용된 파일이 서버에서 삭제되지 않는다는 점이다. 솔버가 33명이나 있는 문제이니, 누구 한명 쯤은 shell.php, webshell.php, cat.php, cmd.php와 같은 이름으로 파일을 올렸을 것이라고 예상했고, 실제로 shell.php를 불러오니 어떤 파일이 하나 불러와졌다. 얼핏보면 난잡해보이지만, 아마 우회를 위해 추가적인 데이터를 넣다가 이런 난잡한 파일이 되었..

child toctou 라이트업이다. 이전의 baby toctou와 다르게 이상한 여러 검증 절차가 추가되었다. 이런식으로, HOST를 검사하여 HOST가 webhacking.kr이 아니고, HOST를 dns reolve했을 때 결괏값이 202.182.106.159가 아니라면 그냥 아무것도 실행을 안해버린다. 그리고 만약 HOST 검증을 통과하면, curl로 http://HOST:10020/cmd/{$_GET['q']}.txt를 한 후에, response값을 system으로 실행하고 결과를 알려준다. baby toctou는 단순 문자열 검증이었기에, 동시에 cat flag.php와 ls를 보냄으로써 해결할 수 있었다. 하지만 여기서는 다르다. DNS REBINDING이라는 공격기법을 써야한다. DNS R..