💻 🧐

1. 진단자 ( 공격자 ) 아이피 주소 확인

NAT 네트워크 [ 192.168.0.0/24 ] 로 지정했었음.

네트워크 마스터 24 [ 255.255.255.0 ] 으로 17번째 네트워크에 할당 된 것을 볼 수 있음.

진단자(공격자)는 17번째 네트워크를 갖게 되었음.

2. 대상 ( 피해자 ) 식별

-진단 대상 아이피 주소 찾기

• Netdiscover 도구

    sudo netdicover -i eth0 -r 192.168.0.0/24

• 1,2,3 으로 할당 된 것은 Virtualbox 는 할당되어 있는 주소이다. 따라서 18이 타겟임을 알 수 있다.
• ARP 프로토콜을 활용하여 네트워크 세그먼트에서 연결 된 클라이언트를 검색하는 스캐너

• Netenum 도구
  • 본인의 IP 주소또한 포함시킨다.

    sudo apt install irpas 
    
    sudo netenum 192.168.0.0/24 10 0 
    
    sudo netenum <destination> [timeout] [verbosity]
      * [ timeout ] : 응답을 기다리는 최대 시간 (초)
      * [ verbosity ] : 상세레벨정의 ( 0-3 ) 기본값은 0 

  • ICMP 프로토콜을 활용하여 웹 서비스 네트워크 대역에서 사용되는 아이피 주소를 스캔하는데 사용되는 도구

• nmap 도구 ← 거의 뭐 이거 사용하면 되는 것 .
  • 네트워크 대역의 모든 호스트 정보 및 서비스 정보를 파악하고 지속적인 모니터링에 유용하게 사용되는 도구
  • ARP Protocol 을 사용 한다. 
    • sn : service 스캔은 하지 않고 호스트가 살아 있는지만 확인해본다.

sudo nmap -sn 192.168.0.0/24

3. 불필요한 포트 스캔, 첫 번째

열린 포트 및 서비스 검색

• Nmap 도구를 활용한 열린 포트 및 서비스 검색

sudo nmap -p1-65535 192.168.0.18

sudo nmap -p(port range) (target IP )

sudo nmap -p(port range) -O (target IP )
    * -O 명령어로 OS 확인 할 수 있음 - 100% 신뢰 할 수는 없지만 참고할만한 자료 이긴 하다. 

4. 불필요한 포트 스캔, 두 번째

nmap

nmap 에서는 NSE 를 활용 가능한데, 이는 공격까지 제공하는 것.

• -sV 옵션으로 열린포트를 조사하여 서비스/버전 정보 확인

sudo nmap -p1-65535 -sV 192.168.0.18
sudo nmap -p(port range) -sV (target IP )

• -A 옵션으로 운영체제탐지, 버전탐지, 스크립트 스캐닝, traceroute 사용 가능

sudo nmap -p1-65535 -A 192.168.0.18

Zenmap

공식 nmap GUI 도구로 CLI 환경이 익숙하지 않은 사람들을 위해 출시 함.

5. Exploit

• Exploit DB

침투 데이터와 취약점 연구자가 사용하도록 개발 된 공개 된 공격 및 취약 소프트웨어의 CVE 저장소Offensive Security's Exploit Database Archive서비스와 버전을 검색하면,악성코드를 다 알려준다.

• • 실무에서도 많이 사용 됨.Exploit DB

• Searchsploit

Exploit-DB 용 명령 줄 검색도구 - 오프라인에서도 접근(검색) 가능 함.

sudo searchsploit proftpd 1.3.3c
sudo searchsploit (service) (service version)

조회결과가 원격코드 실행으로 나타났으니, 원격에서 쉘로 명령어 주는 걸로 뭔가 익스플로잇이 가능하구나 ~ 생각해야 함.

6. Exploit, 두번 째

오른쪽에 나와있는 Path 로 상세 내용을 확인 가능 함.

sudo searchsploit -x 40962

7. 정보 수집 마무리

!! 학습용으로만 사용하세요. 타인의 네트워크에서 IP 스캔 하는것조차 불법입니다. !! 

사실 이 문제는 이미 풀어버렸다. 하지만 그래도 풀이를 기록하고 싶다. 

pyc 파일을 하나 줬다. 서버 시간도 줬는데 입력값이 없는거로 보아 파일안에 플래그가 있거나 서버에 직접 변수를 전달해야할 수도 있을 것이다.

pyc ,, 디컴파일 하라는 듯 하다. 파이썬 컴파일 파일인데, c 의 exe 같은 느낌이다. 이미 만들어 둔 실행파일은 컴파일 시간을 아주 절약해주기 때문이다.

pyc 파일을 그대로 열면

알아볼 수 없다. 때문에 디컴파일이 필요하다.

디컴파일은 uncompyle6 모듈을 사용했다. 설치도 간편하니 설치를 해두자.

pip install uncompyle6

uncompyle6 bughela.pyc

을 실행했더니, 

이제 코드가 보인다. 코드를 읽어보면 flag 가 http 로 직접 변수를 전달하는 것이 아닌경우에 die 를 호출하는 듯 하다. 그리고 sha512 해시를 이용하여 flag 를 만드는 것 처럼 보인다. 저 코드만 이용해서 flag 를 만들어보도록 하자.

해시 된 ok 변수만을 출력하는 파일을 하나 만들었다. 실행시키면 

이런 코드가 나온다. flag 로 전송을 시켜주면 끝.

인 줄 알았으나 틀렸다. 왜인고 하니, 우리는 해시를 만들 때 컴퓨터의 시간을 이용했다.

서버시간이 로컬 시간보다 3분 정도 빠른것을 알 수 있다. 따라서 코드에서 시간을 조정해준 뒤 다시 flag 를 보내면 

flag 를 획득할 수 있다.

리버싱 문제이다. 리버싱 할 때마다 윈도우 가상환경에 들어가는게 귀찮다. 그램을 왜 팔아버렸을까 하는 생각도 ,,,,,

어쨌든 , 간단하다니까 간단하게 한번 풀어보겠다.

들어가보면 exe 파일을 주고, 패스워드를 찾아보라고 한다.

실행시키면 이런 프로그램이 실행되고, 임의의 값을 입력하면  nono 라는 메시지박스를 출력한다.

예상하건데, 입력한 값과 비교하는 명령어 이후 옳은 값이 입력된다면 correct ! 쯤이 나오며 플래그가 나오겠고 옳지 않은 값이 입력된다면 nono 로 jump 해서 메시지 박스를 출력하는 것 쯤이 되겠다.

우리는 이미 오답일 경우 nono 라는 메시지가 출력됨을 알고 있으니 string 검색을 이용해 한번에 그 명령어로 이동하여 엿보도록 하겠다. 디버거는 x32Dbg 를 사용하였다.

뭔가, 중요한 string 들이 많이 보인다. _my_b , birth 가 이곳에서 의미하는 어떤 password 쯤이 되는 것 같다.

중단점을 만들어 놓고 한번 쭉 가보자.

오답을 입력한 뒤 디버깅을 계속했다.

중요한 장면이다. crackme1st.1122DAE 함수를 호출하고 그 결과에 따라서 nono 를 출력하는 방향으로 갈지 아니면 nono 를 넘어가 다른 명령어들을 계속 실행할지 정할 수 있다.

여기서 call crackme1st.1122DAE 에 중단점을 만들고 jmp 에서 nono 를 출력하는 함수를 건너뛰도록 주소를 수정해보도록 하겠다.

nono 를 출력하는 함수로 점프하는 분기문을 그냥 바로 다음 명령어를 실행하도록 수정해보겠다.

그리고 nono 를 넘어서 쭉 실행시켰다.

둘다 나왔다. 뭔가 잘 못된 것 같은데, 일단 good 이 나온걸로 보아, 인증절차는 넘어간것같은데 서버에서 값을 전달받지 못한 것 같다.

but you clear this crackme !

function getchatlog(type){
  xmlhttp = new XMLHttpRequest();
  if(type==0){xmlhttp.onreadystatechange=getni;xmlhttp.open("GET","chatlog.php?t=1");
  }else if(type==1){xmlhttp.onreadystatechange=chatprint;xmlhttp.open("GET","chatview.php?t=1&ni="+ni + " union select 1,table_name,3,4,5 from information_schema.tables--");}
  xmlhttp.send(null);
 }

간단한 SQL Injection 이란다. 그리고 트래픽을 줄이기 위해 할 수 있는게 무엇이 있는지 물어보는 것 같다. on developer's perspective.

ID 를 입력한 후에 채팅 서비스로 연결이 된다. 이곳에서 어떤 SQL 취약점을 발견할 수는 없었다. db table 에 관해서 어떤 정보도 없었기 때문이다. 로그인 한 후 채팅서비스에 접근하도록 하겠다.

이런 UI에 역시 단순한 Injection 은 실행되지 않았다. 개발자 모드로 소스를 살펴보니 다음과 같은 JS 가 보였다,

<style>
 textarea {padding-left:10px; font-size:15px; font-family:verdana;}
 body {background-color:#aaa;}
</style>
<script src="./blueh4g_js.js"></script>
<script>
 var xmlhttp,ni,iq=0,brtype=1;
 function getchatlog(type){
  xmlhttp = new XMLHttpRequest();
  if(type==1){xmlhttp.onreadystatechange=getni;xmlhttp.open("GET","chatlog.php?t=1");
  }else if(type==2){xmlhttp.onreadystatechange=chatprint;xmlhttp.open("GET","chatview.php?t=1&ni="+ni);}
  xmlhttp.send(null);
 }
 function chatprint(){
  if(xmlhttp.readyState==4 && xmlhttp.status==200){
   var temp=xmlhttp.responseText;
   if(brtype==2){cwifr.document.body.innerHTML+=temp;}else{cwifr.document.write(temp);}
   cwifr.document.body.scrollTop=cwifr.document.body.scrollHeight;
  }
 }
 function getni(){
  if(xmlhttp.readyState==4 && xmlhttp.status==200){
   var tni=parseInt(xmlhttp.responseText);
   if(tni!=ni && iq!=0){getchatlog(2);}
   ni=tni;iq=1;
  }
 }
 function sayf(f){
  var xmlhttp2 = new XMLHttpRequest();
  var pdata="chatlog.php?"+encodeURI("data="+f.saydata.value);
  xmlhttp2.open("GET",pdata);
  xmlhttp2.send(null);
  f.saydata.value="";
  f.saydata.focus();
  return false;
 }
 function init(){
  cwifr = document.getElementById("ifr").contentWindow;
  cwifr.document.body.style.backgroundColor="fff";
// cwifr.document.designMode="on";
  var temp=get_br_blue();
  if(temp=="CHR" || temp=="SAF"){brtype=2;}
  getchatlog(1);
  setInterval("getchatlog(1)",1000);
  document.getElementById("firstf").focus();
 }
</script>
<body onload="init();" style="text-align:center;">
<form method="post" action="chatlog.php" onsubmit="return sayf(this);">
<table align=center>
<tr><td>
<h3>[ BlueCHAT v0.9 ] - <span style="font-size:60%;">워게임용 채팅이라 데이터 리프레쉬는 좀 느리게 해뒀습니다~</span></h3>
<iframe id="ifr" style="width:850px; height:500px;"></iframe>
</td></tr>
<tr><td align=center><input type="text" style="width:120px; text-align:center; font-weight:bold;" value="ㅇㄹ" readonly><input type="text" name="saydata" style="width:500px" id="firstf"><input type="submit" value="say">&nbsp;&nbsp;&nbsp;<span style="font-size:9px; color:#000;">made by BlueH4G</span><input type="button" value="logout" onclick="window.location='./';"></td></tr>
</table>
</form>
</body>

그리고 네트워크에는 지속적으로 

chatlog.php 를 가져오고 있었다. 어떤 쿼리문을 통해 이런 php 가 가져와지는 것 같다.

JS 에 있는 소스를 살펴보도록 하겠다.

getchatlog 라는 함수에 GET 방식으로 t 변수에 1 을 넣어 chatlog 를 요청하는 것을 볼 수 있다. 그리고 getchatlog 의 인자인 type 이 2 라면 GET 방식으로 chatview.php 라는 php 를 t=1 변수 그리고 ni 라는 어떤 변수를 사용하여 요청하는 것을 볼 수 있다. Burpsuite 를 이용해서 패킷을 살펴보도록 하겠다.

아까 보았던 php 요청 패킷이다. type 변수를 1에서 2로 바꿔서 요청할 필요가 있을것같다.

해당 함수를 콘솔로 수정하여 type 1 일때 chatview 를 요청하도록 수정하겠다.

 function getchatlog(type){
  xmlhttp = new XMLHttpRequest();
  if(type==0){xmlhttp.onreadystatechange=getni;xmlhttp.open("GET","chatlog.php?t=1");
  }else if(type==1){xmlhttp.onreadystatechange=chatprint;xmlhttp.open("GET","chatview.php?t=1&ni="+ni);}
  xmlhttp.send(null);
 }

이렇게 수정하면 패킷에서 

chatview 를 요청한 것을 볼 수 있다. 그리고 ni 라는 값은 55940 임을 알 수 있다. 하지만 패킷에 어떤 변수만 바뀌었을 뿐, UI 에 눈에 띄는 변화는 보이지 않았다. 

채팅을 입력해보겠다.

chatview.php 는 채팅기록을 보여주는 듯 하다. 그 외에는 어떤 다른것이 보이진 않았다. 페이지 소스를 다시한번 살펴보아야겠다. 페이지 소스에도 '55940' 이라는 값 말고는 다른것이 없다. 그렇다 55940 은 패킷에서 요청하던 ni 변수의 값이다. 

그리고 내가 입력했던 값이 계속 load 되고 있는거로 보아, ni 값이 나의 채팅 내역에 관해서 어떤 정보를 가지고 있는 것 처럼 보인다. 

ni 를 조작하여 보내보도록 하겠다.

55940 -> 55941 로 바꾸었다.

마지막으로 입력했던 채팅이 여러개 보여진다. 계속 바꾸어보겠다.

TEST 라는 새로운 문자를 채팅 서버에 보내고 ni 를 55940 -> 55939 로 바꾸었더니

다른 사람의 채팅이 보여진다. ni 는 user 의 id 같은 역할을 했을 것이다.

그렇다면 해당 쿼리는 select <채팅내역 > from < table name > where ni = 55940 ; 이런식이 될 것이다.  그렇다면 ni 값을 조작함으로써 다른 유저의 채팅 로그를 가져왔으니 '취약한 인증' 에 해당하는 취약점이 발생했다. 그리고 이 ni 변수를 이용하여 인젝션을 시도해보겠다.

쿼리를 보내보겠다.

packet 을 이용해서는 안되길래 그냥 함수를 고쳐서 브라우저 알아서 인코딩하도록 했다.

function getchatlog(type){
  xmlhttp = new XMLHttpRequest();
  if(type==0){xmlhttp.onreadystatechange=getni;xmlhttp.open("GET","chatlog.php?t=1");
  }else if(type==1){xmlhttp.onreadystatechange=chatprint;xmlhttp.open
  ("GET","chatview.php?t=1&ni="+ni + " union select 1,table_name,3,4,5 from information_schema.tables--");}
  xmlhttp.send(null);
 }

이렇게 함수를 수정해서 보냈더니

이런 테이블들이 나왔다.

secret 이라고 하면 괜히 보고싶어진다. 사실 저게 제일 수상하다. select 문을 다시 수정해서 chat_log_secret 을 조회해보겠다.

해당 테이블을 조회하여, 직접 접근했더니 플래그가 나왔다.

이 문제를 푸는데 테이블과 컬럼 정보를 가져오는데 오버헤드가 너무 심해서 type 을 강제로 바꿔서 chatview 에 접근하는것은 추천하지 않는다...

간단한 Compare 에 관한 취약점으로 보여진다. 

페이지 자체는 볼 품 없다. 소스를 살펴보자.

php 를 사용하며, 입력받은 값을 key 로 사용하고 json 형태로 서버에 전송하는 것으로 보여진다. 그리고 submit_check 함수를 사용하여 입력값 검증도 하는 것 처럼 보여진다.

이 부분을 보면, POST 함수를 사용하여 전송 된 json 형태의 값을 가져온다. 그리고 서버에서 생성한 key 값과 사용자가 입력에 보낸 값을 '==' 동등연산자를 이용하여 비교한다. 비교와 관련 된 코드를 살펴보아야겠다. 

서버에서 가져온 js 에서는 submit과 submit_check 함수가 존재한다. submit 함수에서는 submit_check 에서 검증한 입력값을 인자로 사용하는데 이 사이에서 발생가능한 취약점이다. submit_check 에서 submit 으로 넘기는 중에 데이터의 변조 (key = true ; )가 일어난다면 입력값을 한번더 검증하지 않는 submit 함수에서는 그대로 true 값으로 인식할 것 이고, 플래그를 넘겨줄 것이다.

해당 함수들을 모두 복사하여, 콘솔에서 재 정의 하도록 하겠다.

사실 이런식으로 함수를 재 정의 할 수 있는지는 몰랐다. 물론 submit 은 서버와 통신하는 부분이지만 submit_check 는 로컬에서 가져온 값을 이용하는 것이기 때문에 submit_check 에서 key 값을 전송전에 true 로 바꾸어준다. 

이렇게 한다면 , 어떤 값을 입력창에 입력해도 서버에 전송 직전에 true 로 바꾸어 버리기 때문에 서버에서는 항상 true 값만을 받게 된다.

풀긴했지만 사실 type confusion 이라기 보다, input validation 취약점을 이용했다고 할 수도 있겠다. 이러한 종류의 type confusion 문제를 webgoat 8.0 에서 풀어본적이 있다. XXE(XML Externel Entity ) 에서 Modern REST framework 를 사용한다면 JSON 객체를 받아 처리하는 부분이 XXE 공격에 취약할 수 있다는 점이었다. 예를 들어 Json 객체를 이용하려했던 서버에서 XML 객체를 보내도 작동을 한다는 것이었다.  뭐 어쨌든 type confusion 의 의미를 다 살리지 못한 풀이었던것 같다.

tmitter 문제이다. admin 으로 접근하면 된다는데 처음에 테이블을 보여주길래 인젝션 문제인가 했다.

들어가보면 이렇게 새로운 계정을 만들것인지, 계정을 사용할 것인지에 대해서 선택이 가능하다.

주어진 테이블 정보를 이용해서 인젝션을 시도해보겠다.

ID 에 admin 을 넣고

password 에 'select ps from tmitter_user where id='admin' ; -- 를 넣고 로그인을 실행했다. 

실패 메시지가 나와서 코드를 살펴보았더니 maxlength 가 32로 설정이 되어있었다 . 이것을 50으로 바꾸고 다시 시도해보았다.

역시 실패했다. 사실 sql 인젝션을 사용할 때에는 쿼리가 어떻게 작성되었는지 확인한 뒤에 해야한다. 어떤 쿼리문인지 모르기 때문이다.

그렇다면 다음으로 시도해볼 수 있는 취약점은 char() 취약점이다. char() 같은 경우 공백을 처리하지 않는다. 따라서 '~~~~         ' 과 '~~~~' 는 같은 것으로 취급이 된다. 하지만 우리는 테이블에 관한 정보를 알 고 있고, id 의 길이는 최대 32임을 알고 있다. sql 에서 정해진 길이를 초과하는 데이터의 경우 처리하지 않는다. 그러니까 33의 길이를 가지는 "~~~~~                                  1" 과 "~~~~" 는 같다. 이 취약점을 이용하여 회원가입 후 로그인에 시도해 볼 수 있다. 우선 sql 에서 char 와 varchar 를 비교해보고 가겠다.

비밀번호를 설정하고 join 을 클릭하니, 'admin' is exist 에러가 나오지 않고 바로 회원가입에 성공했다.

로그인해보도록 하겠다.

admin 계정으로 회원가입 후 로그인에 성공하였고, Flag 를 획득했다.