기존 아이디 대신 Admin으로 로그인하라는 건가 싶어서 시도했으나 풀리지 않았다. 잠깐 다른 라이트업을 참고하여 /admin 이라는 공간이 추가로 있다는 것을 알아내었다. 그럼 아래와 같이 QR코드를 보게 된다. QR코드를 모바일로 스캔 후 들어가면 로그인창이 떠야 하는데 플러그인 지원이 되지 않아서 안된다. 소스코드라도 보았는데 admlogin.swf 라는 파일을 다운받을 수 있었다. swf 파일을 디컴파일해보았다. 아래 링크에서 디컴파일했다. https://pdfrecover.herokuapp.com/swfdecompiler/ SWF Decompiler, SWF to FLA Online Convert SWF to FLA file, This app is a powerful SWF to FLA conv..
소스코드를 보니 문자열에 대한 난독화가 있어보이고 Init() 함수가 실행되면 패스워드를 초기화해버리는 것 같다. 힌트로는 12342046413275659 라고 적혀있다. eval(function(p,a,c,k,e,r) 부분을 보고 패킹되어 있다고 적혀있다고 생각해두었다. eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k..
문제 화면에는 포인트 점수와 User-Agent라는 HTTP 요청 패킷의 일부가 나와있다. BurpSuite를 사용하여 해당 페이지의 패킷을 확인해본 것과는 다른 부분이 있었다. //문제의 부분 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.0.0 Safari/537.36 //직접 찍은 부분 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.63 Safari/537.36 문제 화면의 ip로 변경하여 패킷을 보내보았다...
문제 화면도 페이지 소스코드에도 이상한점이 보이지 않았다. 그냥 공지 게시판에 글을 써보라고 해서 이동해보았다. 그러나 공지 게시판에는 글을 쓸 수 있는 방법이 없어보였다. 자유게시판에는 글을 쓸 수 있어보인다. 글을 써보기 위해 Write 버튼을 눌러서 이동해보았더니 url을 보면 /free[게시판명]/write 으로 적혀있다. 공지게시판도 똑같을까 싶어서 url 뒤에 write를 붙였더니 글을 쓸 수 있는 공간이 나왔다. 게시글을 작성해보았다. 1q2w3e4r5t6y7u8i9o0p 라는 인증키가 나왔다. 인증키를 인증 페이지로 가서 입력하면 문제가 풀렸다는 알림창이 뜬다. 1q2w3e4r5t6y7u8i9o0p
임의로 로그인에 시도했으나 당연히 풀리지 않았다. 문제화면에서는 로그인 화면 말고는 이상한점이 보이지 않아서 소스코드를 확인해 보았다. 아래 부분에 유의해서 보면 될 것 같다. if ( id == pw ) { alert("You can't join! Try again"); document.web02.id.focus(); document.web02.id.value = ""; document.web02.pw.value = ""; } else { document.web02.submit(); } 힌트를 보면 id와 pw가 같아야된다고 적혀있는데, 위의 조건문을 보면 값이 같은 경우 가입 실패창을 띄우며 입력한 값을 초기화하고 있다. BurpSuite를 사용하여 값을 직접적으로 보내보기로 했다. 로그인하는 id/..
문제화면에 보이는 코드 중 신경써서 봐야할 코드는 아래쪽 부분인 것 같다. result = Replace(str,"a","aad") result = Replace(result,"i","in") result1 = Mid(result,2,2) result2 = Mid(result,4,6) result = result1 & result2 문제 페이지의 url과 문법들을 보아 ASP 언어임을 확인했다. 코드 뒷부분을 보아 입력한 문자열(str)이 5개의 문자열 조함을 거쳐 result가 admin일 경우의 문자열이 인증키를 위한 답인 것 같다. 1. result = Replace(str,"a","aad") 2. result = Replace(result,"i","in") 3. result1 = Mid(resul..
상단에 나오는 쿼리문은 DB에 해당 쿼리문으로 데이터가 들어간다고 알려준다. 이번문제도 쿼리문을 보면 값이 없는 id 파라미터만 있고, pw는 없다. query : select id from prob_vampire where id='' 아래에는 php 코드가 나와있으며, 이걸 참고해서 문제를 푸는 것 이다. 해당 php 코드에서 자세하게 봐야 하는 부분은 이 부분인 것 같다. 아래 조건문을 보면 따옴표( ‘ )를 필터링 하고 있다. strtolower() 를 사용하여 모두 소문자로 변경 시키고, str_replace()를 사용하여 입력한 id값의 admin이라는 글자를 공백으로 바꾼다. 문제를 풀기 위해서는 id의 값이 admin 이어야만 풀리게 되어있다. if(preg_match('/\\'/i', $_..
상단에 나오는 쿼리문은 DB에 해당 쿼리문으로 데이터가 들어간다고 알려준다. 이번문제도 쿼리문을 보면 값이 없는 id 파라미터만 있고, pw는 없다. query : select id from prob_troll where id='' 아래에는 php 코드가 나와있으며, 이걸 참고해서 문제를 푸는 것 이다. 해당 php 코드에서 자세하게 봐야 하는 부분은 이 부분인 것 같다. 아래 조건문을 보면 따옴표( ‘ )와 admin이라는 문자를 소문자로만 필터링 하고 있다. 이번에는 기존의 필터링에서 prob(테이블에 직접 접근을 막고, 추가적으로 information_schema에 접근)가 빠졌다. 문제를 풀기 위해서는 id의 값이 admin 이어야만 풀리게 되어있다. if(preg_match('/\\'/i', $..
상단에 나오는 쿼리문은 DB에 해당 쿼리문으로 데이터가 들어간다고 알려준다. 이번문제도 쿼리문을 보면 저번 문제처럼 id에 guest라는 값이 들어가 있고, pw에 값이 비어있다. query : select id from prob_orge where id='guest' and pw='' 아래에는 php 코드가 나와있으며, 이걸 참고해서 문제를 푸는 것 이다. 해당 php 코드에서 자세하게 봐야 하는 부분은 이 부분인 것 같다. 아래 조건문을 보면 일부 문자 및 or, and 라는 문자를 대소문자 구분 없이 필터링 하고, 입력할 공간은 pw이다. 아래 조건문을 보면 일부 문자를 필터링 하며, 입력할 공간은 pw이며, DB의 결과와 입력한 pw가 같을 경우 문제가 풀린다. id부분은 비교하는 문장이 보이지 ..
