SlowTurtle

[Dreamhack] csrf-2 이번 문제는 로그인이 추가 되었다. 코드 중 /change_password를 보아하니 /flag에서 img태그로 change_password에 들어가고 admin계정의 비밀번호를 공격자 마음대로 변경하여 계정을 탈취하여 로그인하는 방식으로 진행하면 될 것 같다. #!/usr/bin/python3 from flask import Flask, request, render_template, make_response, redirect, url_for from selenium import webdriver import urllib import os app = Flask(__name__) app.secret_key = os.urandom(32) try: FLAG = open("./..

[Dreamhack] NoSQL-CouchDB 우선 코드를 보자. var createError = require('http-errors'); var express = require('express'); var path = require('path'); var cookieParser = require('cookie-parser'); const nano = require('nano')(`http://${process.env.COUCHDB_USER}:${process.env.COUCHDB_PASSWORD}@couchdb:5984`); const users = nano.db.use('users'); var app = express(); // view engine setup app.set('views', path..

[Dreamhack] SQL Injection Bypass WAF Advanced import os from flask import Flask, request from flask_mysqldb import MySQL app = Flask(__name__) app.config['MYSQL_HOST'] = os.environ.get('MYSQL_HOST', 'localhost') app.config['MYSQL_USER'] = os.environ.get('MYSQL_USER', 'user') app.config['MYSQL_PASSWORD'] = os.environ.get('MYSQL_PASSWORD', 'pass') app.config['MYSQL_DB'] = os.environ.get('MYSQL_DB'..

[Dreamhack] SQL Injection Bypass WAF 우선 코드를 보자. import os from flask import Flask, request from flask_mysqldb import MySQL app = Flask(__name__) app.config['MYSQL_HOST'] = os.environ.get('MYSQL_HOST', 'localhost') app.config['MYSQL_USER'] = os.environ.get('MYSQL_USER', 'user') app.config['MYSQL_PASSWORD'] = os.environ.get('MYSQL_PASSWORD', 'pass') app.config['MYSQL_DB'] = os.environ.get('MYSQL_D..

[Dreamhack] error based sql injection 코드를 보자. import os from flask import Flask, request from flask_mysqldb import MySQL app = Flask(__name__) app.config['MYSQL_HOST'] = os.environ.get('MYSQL_HOST', 'localhost') app.config['MYSQL_USER'] = os.environ.get('MYSQL_USER', 'user') app.config['MYSQL_PASSWORD'] = os.environ.get('MYSQL_PASSWORD', 'pass') app.config['MYSQL_DB'] = os.environ.get('MYSQL_DB'..

[Dreamhack] blind sql injection advanced 우선 app.py 코드부터 봤다. import os from flask import Flask, request, render_template_string from flask_mysqldb import MySQL app = Flask(__name__) app.config['MYSQL_HOST'] = os.environ.get('MYSQL_HOST', 'localhost') app.config['MYSQL_USER'] = os.environ.get('MYSQL_USER', 'user') app.config['MYSQL_PASSWORD'] = os.environ.get('MYSQL_PASSWORD', 'pass') app.config['..

[Dreamhack] DOM XSS 우선 둘러보는데 평소와 다른 flag를 입력할 수 있었다. vuln?param=#dreamhack 그래서 vuln을 들어가보니 이곳부터 #을 사용하고있는 것을 볼 수 있었다. 그래서 우선 vuln코드를 봤다. {% extends "base.html" %} {% block title %}Index{% endblock %} {% block head %} {{ super() }} {% endblock %} {% block content %} {{ param | safe }} {% endblock %} 처음에 핵심을 잘 모르겠어서 다시 강의를 봤다. DOM XSS는 브라우저 단에서 자바스크립트로 인해 발생하는 취약점을 이용함임을 다시 짚고 생각을 해봤다. 따라서 저 scrip..

[Dreamhack] XS-Search 우선 코드를 보자. #!/usr/bin/python3 from flask import Flask, request, render_template, make_response, redirect, url_for from selenium.common.exceptions import TimeoutException from urllib.parse import urlparse from selenium import webdriver from hashlib import md5 import urllib import os app = Flask(__name__) app.secret_key = os.urandom(32) try: FLAG = open("./flag.txt", "r").rea..

[Dreamhack] Relative Path Overwrite Advanced 바뀐 부분만 좀 봤더니 var url =~ 과 if절에 filter !==가 filter ===로 바뀌었다. url변수에 새로운 url을 받아오는 것을 알 수 있었고 filter가 undifined되면 바로 nope !!을 출력한다는 것을 알았다. var filter = ["script", "on", "frame", "object"]; fiter.js는 동일하게 script, on, frame, object로 동일했다. advanced에서 핵심은 filter.js를 어떻게하면 발동하지 않고 지나갈까이다. 상대경로니 처음에 학습했던대로 /vuln.php/;alert(1);// alert(1)을 하고 뒷 부분의 자바스크립트를 주..

[Dreamhack] Relative Path Overwrite 소스코드부터 분석해보자. Relative-Path-Overwrite Home Vuln page Report 위는 index.php이다. page파라미터를 받아 php파일을 include해주는데 .., :, /문자를 필터링하여 LFI공격을 막는다는 것을 알 수 있다. 위는 vuln.php이다. 우선 param이라는 파라미터에 검사하는 키워드가 없다면 pre태그 내에서 innerHTML로 삽입된다. 또한 ' 을 공백으로 replace한다. 따라서 자바스크립의 템플릿 리터널을 벗어날 수 없다는 것을 알 수 있다. 만약 filter.js를 피할 수 있다면 필터링을 우회할 수 있다. 한가지 더 짚어야할 것은 filter.js는 상대주소로 로드되고 있..