ls-toast

 정말 고생했던 문제입니다.. 분명 150점 짜리이고 리메이크 되기전에 간단하게 풀었던 문제인데 몇시간을 투자해도 도저히 풀 수 없어서 그냥 rubiya님께 문의해서 힌트를 받아서 풀 수 있었습니다.. 때문에 이 문제 풀이는 접은글로 닫아두고 제가 rubiya님에게 받은 힌트를 보여드리겠습니다. 해당 힌트를 참고해서 풀어보시고 그래도 모르시겠다면 접은 글을 참고하시면 될것 같습니다.

[힌트]
https://www.php.net/manual/en/wrappers.php.php

[추가 힌트]
제가 드리는 추가 힌트입니다.

1. 위의 페이지에서 filter 를 사용합니다
2. php wrapper vuln 을 키워드로 검색하시면 관련 자료들이 나옵니다.

[풀이]

...더보기

 이 문제는 PHP Wrapper 중 filter를 이용하면 풀 수 있습니다. filter의 기능중에 base64 인코딩 기능이 있는데 이를 이용해서 flag,php를 인코딩 시키면 저 텍스트 박스에 php 소스가 base64로 인코딩된 값이 출력됩니다. 해당 값을 decode하고 flag값을 인증하면 끝!

http://webhacking.kr:10001/?file=php://filter/convert.base64-encode/resource=flag

 문제를 클릭하면 위처럼 client ip와 agent 값이 출력되고 끝입니다. 소스를 확인해봅니다.

<?php
  extract($_SERVER);
  extract($_COOKIE);
  $ip = $REMOTE_ADDR;
  $agent = $HTTP_USER_AGENT;
  if($REMOTE_ADDR){
    $ip = htmlspecialchars($REMOTE_ADDR);
    $ip = str_replace("..",".",$ip);
    $ip = str_replace("12","",$ip);
    $ip = str_replace("7.","",$ip);
    $ip = str_replace("0.","",$ip);
  }
  if($HTTP_USER_AGENT){
    $agent=htmlspecialchars($HTTP_USER_AGENT);
  }
  echo "<table border=1><tr><td>client ip</td><td>{$ip}</td></tr><tr><td>agent</td><td>{$agent}</td></tr></table>";
  if($ip=="127.0.0.1"){
    solve(24);
    exit();
  }
  else{
    echo "<hr><center>Wrong IP!</center>";
  }
?>

 저는 이미 풀어져있는 문제라 후배 블로그에서 소스코드를 긁어왔습니다. extract 함수를 이용해 $_SERVER와 $_COOKIE를 가져오는데 두 변수는 PHP 예약 변수로 각각 서버(혹은 실행환경)의 정보를 담고 있는 배열과 쿠키의 정보를 담고 있는 배열입니다. 그 후 ip에 REMOTE_ADDR 값을, agent에 HTTP_USER_AGENT 값을 넣어줍니다.

 그 뒤에 ip값을 특정 조건에 맞게 변환해준 뒤 해당 ip값이 127.0.0.1이면 solve를 호출하는 방식입니다. 이 문제의 취약점은 $_SERVER를 추출해온 뒤 $_COOKIE를 추출했다는 부분입니다. $_SERVER를 추출할때 REMOTE_ADDR값을 가져왔는데 $_COOKIE를 추출할때 쿠키 값에 똑같이 REMOTE_ADDR 값이 존재한다면 해당 값을 쿠키에 있던 값으로 덮어 씌웁니다.

 대충.. 이런느낌?

위와 같은 취약점 때문에 쿠키값에 REMOTE_ADDR 값을 넣고 위의 조건에 맞춰서 127.0.0.1이 되게 만들어주면 됩니다.

끝!

문제를 클릭해보면 검은 화면에 텍스트박스, check 버튼이 끝입니다. 소스를 봅시다.

<html>
<head>
<title>Challenge 17</title>

</head>
<body bgcolor=black>
<font color=red size=10></font>
<p>
<form name=login>
<input type=passwd name=pw><input type=button onclick=sub() value="check">
</form>
<script>
unlock=100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10*100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10*100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10*100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10/100*10*10+1/10-10+10+50-9*8+7-6+5-4*3-2*1*10*100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10+100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10-100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10/100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10/100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10/100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10/100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10/100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10/100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10/100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10/100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10/100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10*100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10*100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10*100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10*100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10*100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10*100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10*100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10+9999999;
function sub(){ if(login.pw.value==unlock){ location.href="?"+unlock/10; } else{ alert("Wrong"); } }
</script>

 unlock에 굉장히 복잡한 계산을 한 값을 넣고 sub함수에서 사용자가 텍스트 박스에 입력한 값과 unlock값을 비교하여 같다면 문제가 풀리는 방식입니다. 이 문제는 3가지 방식이 있는데 첫번째는 개발자 도구를 이용해 unlock값을 알아내는 방법이고 두번째는 함수를 재정의하는 방법이고 마지막은 직접 계산(...)하는 방법입니다. 세번째 방법은 생략하고 첫번째와 두번째 방법을 소개하겠습니다.

첫번째 방법

 어차피 unlock값은 이미 페이지를 로드할때 다 계산되어 있으므로 바로 unlock을 입력해서 값을 확인하면 됩니다. 만약 확실한게 좋다고 하시는분은 소스 코드에서 unlock 연산 코드를 긁어와서 그대로 복붙해서 넣으시면 됩니다.

두번째 방법

 위처럼 if문 안에 1을 넣어서 무조건 참이 되게 만들어주고 호출하면 됩니다.

끝!

 문제를 클릭하면 위처럼 별이 찍혀있고 WASD에 따라 큰 별이 움직이고 큰 별이 움직일때마다 작은 별들이 찍힙니다. 일단 소스를 봅니다.

<html>
<head>
<title>Challenge 16</title>
<body bgcolor=black onload=kk(1,1) onkeypress=mv(event.keyCode)>
<font color=silver id=c></font>
<font color=yellow size=100 style=position:relative id=star>*</font>

<script> 
document.body.innerHTML+="<font color=yellow id=aa style=position:relative;left:0;top:0>*</font>";
function mv(cd){
  kk(star.style.left-50,star.style.top-50);
  if(cd==100) star.style.left=parseInt(star.style.left+0,10)+50+"px";
  if(cd==97) star.style.left=parseInt(star.style.left+0,10)-50+"px";
  if(cd==119) star.style.top=parseInt(star.style.top+0,10)-50+"px";
  if(cd==115) star.style.top=parseInt(star.style.top+0,10)+50+"px";
  if(cd==124) location.href=String.fromCharCode(cd)+".php"; // do it!
}
function kk(x,y){
  rndc=Math.floor(Math.random()*9000000);
  document.body.innerHTML+="<font color=#"+rndc+" id=aa style=position:relative;left:"+x+";top:"+y+" onmouseover=this.innerHTML=''>*</font>";
}
</script>
</body>
</html>

 onkeypress를 통해 mv함수에 사용자가 입력한 키값을 넘기고 mv에서는 키값을 cd라는 변수에 받고 변수값에 따라 별의 위치를 움직입니다. 이때 100,97,119,115는 WASD의 아스키코드 값입니다. 그런데 딱 보면 알겠지만 아스키코드 값으로 124가 들어오면 별의 위치를 변경하는게 아니라 php파일로 이동합니다. 당연히 저게 solve와 관련된 php겠죠.

 이 문제도 두가지 방법이 있습니다. 첫번째는 아스키코드 124에 해당하는 키 값을 입력해주는 방법이고 두번째는 개발자 도구를 이용하는 방법입니다. 둘중에 편한 방법으로 푸시면 됩니다.

첫번째 방법

 구글에 아스키 코드 표를 검색하여 124의 값을 찾습니다. 위의 표를 참고하면 알 수 있듯이 | (파이프)입니다. 그래서 해당 문제의 페이지에서 Shift + \를 눌러주면 문제가 풀립니다.

두번째 방법

개발자 도구를 열고 그냥 바로 mv함수를 호출할때 인자값으로 124를 넘기면 됩니다.

끝!

 문제를 클릭하면 검은 화면에 텍스트 박스가 하나 있고 check버튼이 있습니다. 일단 페이지 아무곳이나 우클릭해서 소스 보기를 해봅니다.

<html>
<head>
<title>Challenge 14</title>
<style type="text/css">
body { background:black; color:white; font-size:10pt; }
</style>

</head>
<body>
<br><br>
<form name=pw><input type=text name=input_pwd><input type=button value="check" onclick=ck()></form>
<script>
function ck(){
  var ul=document.URL;
  ul=ul.indexOf(".kr");
  ul=ul*30;
  if(ul==pw.input_pwd.value) { location.href="?"+ul*pw.input_pwd.value; }
  else { alert("Wrong"); }
}
</script>
</body>
</html>

 ul에 URL값을 넣고 해당 값에서 .kr의 index값을 넣은 뒤 30을 곱해줍니다.
결국 텍스트 박스에 위의 연산을 끝낸 결과값을 넣고 check를 누르면 풀리는 문제입니다. 직접 다 계산하는 방법도 있겠지만 개발자 도구를 이용해 쉽게 푸는 방법이 2가지가 있습니다.

첫번째 방법

 위와 같은 방법으로 콘솔에 똑같은 코드를 넣고 결과 값을 구하는 방법입니다. 직접 구하지 않고 편하게 구할 수 있고 코드가 어떻게 동작하는지 확인할 수 있는 장점이 있는 방법입니다.

두번째 방법

 위와 같은 방법으로 ck함수를 재정의한 뒤 호출하는 방법이 있습니다. 편한 방법을 골라서 쓰면 됩니다.

끝!

 문제를 클릭하면 검은 화면에 level이 적혀있고 그 아래 view-source가 있습니다. 일단 바로 소스를 확인해봅니다.

<?php
  include "../../config.php";
  if($_GET['view-source'] == 1){ view_source(); }
  if(!$_COOKIE['user_lv']){
    SetCookie("user_lv","1",time()+86400*30,"/challenge/web-01/");
    echo("<meta http-equiv=refresh content=0>");
  }
?>
<html>
<head>
<title>Challenge 1</title>
</head>
<body bgcolor=black>
<center>
<br><br><br><br><br>
<font color=white>
---------------------<br>
<?php
  if(!is_numeric($_COOKIE['user_lv'])) $_COOKIE['user_lv']=1;
  if($_COOKIE['user_lv']>=6) $_COOKIE['user_lv']=1;
  if($_COOKIE['user_lv']>5) solve(1);
  echo "<br>level : {$_COOKIE['user_lv']}";
?>
<br>
<a href=./?view-source=1>view-source</a>
</body>
</html>

 SetCookie로 user_lv를 설정해주고 아래에서 user_lv의 조건을 체크해 solve 여부가 결정됩니다. solve를 위한 user_lv의 조건은

5 < user_lv < 6

이어야 하니 EditThisCookie를 이용해서 user_lv값을 5.1~5.9 사이로 변경해줍니다. (개발자 도구를 사용해도 무관합니다.)

끝.

 문제를 클릭하면 위와 같은 화면이 뜨는데 바로 view-source를 눌러 소스를 확인해줍니다. 소스는 아래와 같습니다.

<?php
include "../../config.php";
if($_GET['view_source']) view_source();
if(!$_COOKIE['user']){
  $val_id="guest";
  $val_pw="123qwe";
  for($i=0;$i<20;$i++){
    $val_id=base64_encode($val_id);
    $val_pw=base64_encode($val_pw);
  }
  $val_id=str_replace("1","!",$val_id);
  $val_id=str_replace("2","@",$val_id);
  $val_id=str_replace("3","$",$val_id);
  $val_id=str_replace("4","^",$val_id);
  $val_id=str_replace("5","&",$val_id);
  $val_id=str_replace("6","*",$val_id);
  $val_id=str_replace("7","(",$val_id);
  $val_id=str_replace("8",")",$val_id);

  $val_pw=str_replace("1","!",$val_pw);
  $val_pw=str_replace("2","@",$val_pw);
  $val_pw=str_replace("3","$",$val_pw);
  $val_pw=str_replace("4","^",$val_pw);
  $val_pw=str_replace("5","&",$val_pw);
  $val_pw=str_replace("6","*",$val_pw);
  $val_pw=str_replace("7","(",$val_pw);
  $val_pw=str_replace("8",")",$val_pw);

  Setcookie("user",$val_id,time()+86400,"/challenge/web-06/");
  Setcookie("password",$val_pw,time()+86400,"/challenge/web-06/");
  echo("<meta http-equiv=refresh content=0>");
  exit;
}
?>
<html>
<head>
<title>Challenge 6</title>
<style type="text/css">
body { background:black; color:white; font-size:10pt; }
</style>
</head>
<body>
<?php
$decode_id=$_COOKIE['user'];
$decode_pw=$_COOKIE['password'];

$decode_id=str_replace("!","1",$decode_id);
$decode_id=str_replace("@","2",$decode_id);
$decode_id=str_replace("$","3",$decode_id);
$decode_id=str_replace("^","4",$decode_id);
$decode_id=str_replace("&","5",$decode_id);
$decode_id=str_replace("*","6",$decode_id);
$decode_id=str_replace("(","7",$decode_id);
$decode_id=str_replace(")","8",$decode_id);

$decode_pw=str_replace("!","1",$decode_pw);
$decode_pw=str_replace("@","2",$decode_pw);
$decode_pw=str_replace("$","3",$decode_pw);
$decode_pw=str_replace("^","4",$decode_pw);
$decode_pw=str_replace("&","5",$decode_pw);
$decode_pw=str_replace("*","6",$decode_pw);
$decode_pw=str_replace("(","7",$decode_pw);
$decode_pw=str_replace(")","8",$decode_pw);

for($i=0;$i<20;$i++){
  $decode_id=base64_decode($decode_id);
  $decode_pw=base64_decode($decode_pw);
}

echo("<hr><a href=./?view_source=1 style=color:yellow;>view-source</a><br><br>");
echo("ID : $decode_id<br>PW : $decode_pw<hr>");

if($decode_id=="admin" && $decode_pw=="nimda"){
  solve(6);
}
?>
</body>
</html>

 코드가 조금 길지만 guest와 123qwe를 Base64로 20번 인코딩 해주고 인코딩된 값을 str_replace를 이용하여 코드에 맞게 치환해준 뒤 그걸 다시 원래대로 치환해준 다음 Base64로 20번 디코딩한 값이 admin, nimda 인지 체크하는 코드입니다. 그냥 id를 guest -> admin, pw를 123qwe -> nimda 로 변경해주고 위의 과정을 그대로 돌려줘서 나온 Base64값을 그대로 쿠키에 넣어주면 해결되는 문제입니다.
이 과정은 뭐 직접 php를 짜셔도 되고 파이썬으로 짜셔도됩니다.

 기존의 Webhacking.kr 에서 리모델링(?)된 기념으로 All-Clear 도전하기. 리모델링도 됐겠다 새로운 계정을 파서 처음부터 해보기로 했습니다. 풀이 순서는 낮은 점수부터 높은 점수까지! 첫 문제는 old-15입니다. 클릭해보면 아래와 같은 화면을 볼 수 있습니다.

 바로 Access_Denied를 뱉고 홈페이지로 돌아가는데 일단 소스코드를 살펴보겠습니다. 소스 코드를 살펴보는 방법에는 다양한 방법이 있겠지만 저는 주로 다음과 같은 방법을 사용합니다.

view-source:URL

이 문제에서는 아래와 같겠죠
view-source:https://webhacking.kr/challenge/js-2/

이걸 주소창에 적어주시면 소스코드를 볼 수 있습니다. 그리고 이번 문제의 소스는 아래와 같습니다.

<html>
<head>
<title>Challenge 15</title>
</head>
<body>
<script>
  alert("Access_Denied");
  location.href='/';
  document.write("<a href=?getFlag>[Get Flag]</a>");
</script>
</body>

 그냥 바로 Access_Denied alert창을 띄우고 location.href를 이용하여 webhacking.kr 홈페이지로 바로 이동하는 코드입니다.
그런데 그 바로 아래에 document.wirte("<a href=?getFlag>[Get Flag]</a>"); 가 있습니다.
해당 코드는 현재 페이지에 [Get Flag]라는 문자열을 출력해주고 해당 문자열에 ?getFlag로 이동하는 링크를 걸어줍니다.
아래의 예시를 보면 바로 이해되실겁니다.

 그런데 alert후에 바로 홈페이지로 이동하게 만들어놔서 우린 위의 링크를 볼 수 없습니다. 하지만 우린 소스를 통해 주소를 알아냈으니 직접 접속해서 해결할 수 있습니다.