본문 바로가기

분류 전체보기

[Lord Of SQL injection] darkelf → orge 우선 제일 먼저 보이는 부분이 pw에서 ‘or’과 ‘and’를 예외처리해주는 부분이였다. 저걸 우회하려면 어떻게 해야 하나 순간 막막했지만 그냥 일단 ‘or’,‘and’가 안되는 거니까 논리연산자로 함 때려보자 ~.php?pw=’%20||%20id=’admin바로 풀려서 당황했지만 논리연산자로 우회하는 거였다! 더보기
[webhacking.kr] challenge 21 우선 문제 페이지의 소스코드이다.no와 id,pw가 있다.no=1no=2다행이다. no=3에서 False가 떴다. 그럼 이제 length로 id의 길이를 알아보자no=1의 id의 길이를 우선 알아보기 위해 일단 그냥 admin이 다섯글자니까 5를 먼저 넣어봤다.오 바로 True가 떴다. 하지만 no=2에서도 id길이가 5이겠지음 역시 하지만 이로써 id=admin인 곳의 pw를 알아내면 될 거 같다는 느낌이 더 확실히 들었다.우선 no=1인 곳의 id의 첫글자는 a가 아니다.no=2에서 첫글자 a가 True로 떴다. 혹시나 싶으니 정말 admin이 맞는지 확인해보자두번째 글자 'd'세번째 글자도 'm' 이쯤이면 되었다. no=2의 id는 admin일 것이다! 이제 pw가 몇 글자인지 확인해보자우선 pw는.. 더보기
[Lord Of SQL injection] wolfman → darkelf 우선 문제는 단순히 id=’admin’이면 문제가 풀린다. orc에서 파이썬 코드 짜는데 헤매서 그런가 난이도가 갑자기 낮아진 것 같다.일단 처음에 id가 guest라고 되어있으니 pw값을 거짓으로 넣고 id=’admin’을 때리면 될 것 같다. 그래서 했는데 No whitespace ~_~가 뜨길 레 다시 보았더니 공백처리를 우회해야 한다.http://lanian.tistory.com/entry/SQL-%EC%9D%B8%EC%A0%9D%EC%85%98-%EC%9A%B0%ED%9A%8C-%ED%8C%A8%ED%84%B4 여기 sql injection 우회가 잘 나와 있다. 여길 참고하여 나는 공백부분을 /**/로 처리하였다. .php?pw=’/**/or/**/id=’admin그런데 풀고나서 든 생각이 i.. 더보기
[reversing.kr] Music Player 1분을 넘기지 못하는 MP3 플레이어다. 1분을 넘기면 flag가 뜨는 것 같다.우선 Music_Player.exe을 실행시키고 1분이 되자창이 하나 뜬다.일단 디버거툴로 까서 창을 띄우는 부분을 확인하면 될 거 같은데 저번에 지뢰찾기 리버싱을 하여 지뢰찾기의 게임 상 흘러가는 1초를 실제 1초보다 느리게 흘러가게 하도록 한 적이 있다. 이때 보통 프로그램 상에서 시간의 단위는 ms라는 것을 알았다. 그래서 IDA로 까서 0x0EA60을 검색해보았다.바로 0x0EA60과 비교하는 부분이 나왔다.여기서 좀 더 살펴보면 될 것 같다.일단 404590로 가보았다.call하는 함수들을 보았을 때 _vbaVarDup는 무엇인지 잘 감이 안 잡히고 rtcMsgBox는 이름 그대로 메시지 박스일 것 같다. rtcMs.. 더보기
[Lord Of SQL injection] orc → wolfman id가 admin이라고 처음부터 되어있다. 문제는 pw인데 우선 addslashes가 무슨 함수인지 알아보자http://www.w3schools.com/php/func_string_addslashes.asp 여기에서 예제를 돌려보면 이 함수가 하는 일을 쉽게 파악할 수 있는데 ‘, “, \, NULL로 문자열을 구분하는 DB 시스템에서 하나의 문자열 안에 따옴표가 들어가면 오류가 발생할 수 있기 때문에 이를 막아주기 위해 백슬래쉬를 추가시킨다.(http://zzaps.tistory.com/45)여기서 Hello admin을 띄워주는 부분은 addslashes 전이다.이렇게 pw값이 TRUE인 상황에서는 Hello admin이 뜨고pw값이 FALSE인 상황에서는 Hello admin이 뜨지 않는다.이처럼 .. 더보기
[Lord Of SQL injection] goblin → orc 쿼리문에서 id값을 guest라고 박았다..!어떻게 풀어야하나일단 id가 guest이면 no의 값이 무엇인지 확인해보자.no=0부터 넣어봤는데 no=1일 때 Hello guest 라고 뜬다. 그렇다면 admin의 no는 0이겠지?!(두근)그렇담 id=admin인 부분은 no=0이라고 추정할 수 있다. 그래서 no=1’or’0으로 공격을 시도했는데아 예외처리에서 걸린다.다 ‘,“,`다 예외처리 해주는데 보면 space는 빠져있다. 우선 id=’guest’ and no=2라고 아예 FALSE로 만들고 or no=0을 붙여 공격해보자!다시 어떻게 하면 좋을지 생각해보자. id=‘admin’이라고 해보자! 아 맞다 예외처리계속 생각을 하다 크게 간과한 부분이 있다. admin의 no가 0이라고 왜 그렇게 확신을.. 더보기
[Lord Of SQL injection] cobolt → goblin 우선 문제를 보면 id와 pw를 받아와서 그에 해당하는 id 컬럼의 값이 admin이면 문제가 풀린다. 쿼리문을 보면 pw는 ma5(‘{$_GET[pw]}’)인데 md5가 무엇인지 검색해보았다.http://php.net/manual/kr/function.md5.php 여기를 참조해보면 문자열의 md5 해시를 계산한다는데 16진수를 32문자로 해시를 반환한다고 한다. 그리고 md5 인자의 불린값의 기본값은 FALSE라고 한다. 그러면 여기서 드는 생각이 TRUE인 값으로 하면 pw는 해결되는 것 아닌가?그래서 1’or’1을 md5해시값으로 만들어 때려보려 했는데 계속 실패했다. http://bbolmin.tistory.com/77 여기를 참고해보면 내가 생각한 것처럼 sql injection을 할 수 있는.. 더보기
[reversing.kr] Easy Unpack 우선 파일을 받았을 때 있는 ReadMe.txt를 보면 OEP를 찾으란다....O...OEP...?그게 뭐지..일단 난 OEP가 뭔지도 몰라서 검색을 했는데 패킹과 관련이 있는 거 같았다. 패킹한다고 많이 들어봤는데 사실 정확한 의미를 몰라서 알아보자. 아직 모르는 게 정말 산더미이다ㅠ_ㅠ일단 Packing이란 본래의 내용물을 박스에 넣고 박스를 포장지로 둘러싸고 띠로 둘러서 리본을 매는 포장과 같다 볼 수 있다. 즉 원래의 코드(프로그램)가 다른 코드들에 의해 둘러싸여진다는 것인데 패킹을 하는 이유에는 보호와 압축에 있다.우선 본래의 코드를 보호하기 위해 프로그램을 리버싱하지 못하기 위해 우회하는 코드들로 패킹을 한다. 또 프로그램의 크기를 줄이기 위해 프로그램의 필요한 코드 등만을 가져와 패킹한다.그.. 더보기
[Lord Of SQL injection] gremlin → cobolt 우선 소스 코드를 보면 id와 pw를 받아 id를 뽑아오는 쿼리가 있다.if($result[‘id’]) solve(“gremlin”); 즉, id값이 있으면 그냥 문제가 풀린다. 따라서 그냥 쿼리문이 실행되기만 하면 된다.SQL injection의 제일 기본, 기초가 된다는 id값을 무조건 참값으로 만들어주기‘or’1’=’1’# ‘or’1‘=’1‘--이런 식으로 id에 참값을 만들고 pw부분은 --나 #으로 주석처리를 해준다.php?id=’or’1’=’1’%23이라고 입력하면 된다. 처음에 #이라고 했는데 왜인지 안 먹혀서 그냥 %23으로 했더니 되었다 더보기
[reversing.kr] Easy Keygen Reversing.kr Easy Keygen2016.12.30.우선 Easy_KeygenMe 파일을 받아보면 ReadMe.txt.와 Easy Keygen.exe파일이 있다.시리얼 값이 저럴 때의 이름을 찾으라고 한다. 일단 IDA로 까보자.우선 이름을 입력받는 부분이다. 그리고 아직 어디에 쓰이는 건진 모르겠지만 0x10, 0x20, 0x30이 차례대로 들어온다.그리고 esi가 3이랑 같거나 크면 xor시켜 0으로 바꿔준다. 앞의 코드에서 xor esi,esi로 esi 값을 0으로 돌려놓은 상태에서 시작한다.3이랑 같거나 크면 0으로 바꿔주므로 short loc_40107E로는 항상 점프하도록 되어있는데 가보면ecx에 esp+esi+13Ch+var_130 값과 edx에 esp+ebp+13Ch+var_12.. 더보기

티스토리툴바