Roronoa

Dreamhack Special Letter Translator WriteUp

문제 풀이app.pytranslator 페이지에서 dill.loads를 통해 base64로 인코딩 된 데이터를 역직렬화 한다.dill에서 역직렬화 취약점이 존재하기 때문에 RCE가 가능하다. 하지만 vip token이 존재해야지 해당 요청을 전송할 수 있다.@app.route('/translator', methods=['GET', 'POST'])def translator(): token = request.cookies.get('Authorization') decoded_token = verify_vip_token(token) if not decoded_token: return jsonify({"error": "VIP CAN USE!"}), 403 if request.me..

문제 풀이app.py메인 페이지 접근 시 intro 페이지로 리다이렉트 진행한다.intro 페이지에서는 name과 detail 파라미터가 존재하며, intro.html에 값을 전달한다.@app.route("/", methods=["GET"])def index(): return redirect("/intro")@app.route("/intro", methods=["GET"])def intro(): name = request.args.get("name") detail = request.args.get("detail") return render_template("intro.html", name=name, detail=detail)intro.html만약 name과 detail이 존재한다면 ..

문제 풀이문제 페이지 접근 시 svg 파일 띄워준다. index.html 파일index.html 파일에서 py-script를 사용하여 main.py를 실행한다. Randomly Moving SVG Paths main.py 파일main.py에서 load_svg_from_string() 함수에서 svg 파일 내용을 체크 한다. # tagName이 svg가 아니거나 namespaceURI에 http://www.w3.org/2000/svg나 x가 없을 경우 e..

문제 풀이app.go 분석 시 template을 사용하는데 name의 값을 %s로 입력 받으며, 사용자 검증이 없기 때문에 SSTI 공격이 가능하다.package mainimport ( "html/template" "net/http" "bytes" "fmt" "strings" "github.com/labstack/echo/v4")func greetHandler(c echo.Context) error { name := c.QueryParam("name") if name == "" { name = "go" } if strings.Contains(strings.ToLower(name),"flag"){ return c.String(http.StatusBadRequest, "flag is not allowed..

문제풀이문제 접근 후 robots.txt 확인robots.txt에서 /dreamhacksofun 경로 확인 dreamhacksofun 경로 접근 시 login 페이지로 리다이렉트페이지 소스를 통해 계정 정보 확인admin:sksmssorkqlcsksmsqufdlswnfdkfdkTdjdy로그인 성공 시 FLAG 확인

문제풀이소스코드nginx.confevents { worker_connections 1024;}http { server { listen 80; listen [::]:80; server_name _; location = /shop { deny all; } location = /shop/ { deny all; } location / { proxy_pass ; } }}/shop , /shop/ 접근 불가 하지만 대문자(/SHOP)로 우회 가능 app.jsconst express = require("expres..

문제 풀이소스코드 host: $host path: $path query: $query"; if(preg_match("/flag.php/i", $path)){ echo "NO...."; } else echo "Cannot access flag.php: $path "; ?> parse_url($url, PHP_URL_PATH)의 값이 flag.php이면 차단되며, flag.php에 접속할 경우 flag를 확인할 수 있다. path에 //를 입력할 시 NULL이 되어 우회가 가능하다. 또한 fl%61g.php로 url인코딩으로도 해결할 수있다.  참고 문헌 PHP Parse_url 함수 분석 / 취약점 | 2017 블랙햇 SSRF 공격parse_url..

문제 풀이로그파일flag 부분에서 != 부분만 추출?id=1' AND 8487=IF((ORD(MID((SELECT IFNULL(CAST(COUNT(*) AS CHAR),0x20) FROM dvwa.flag),1,1))!=49),SLEEP(1),8487)-- Adyu&Submit=Submit HTTP/1.1" 200 1795 "-" ?id=1' AND 9329=IF((ORD(MID((SELECT IFNULL(CAST(`value` AS CHAR),0x20) FROM dvwa.flag ORDER BY id LIMIT 0,1),1,1))!=68),SLEEP(1),9329)-- QEcW&Submit=Submit HTTP/1.1" 200 1806 "-" ?id=1' AND 9329=IF((ORD(MID((SELE..

문제 풀이소스코드(music.html) const recommend = (age) => { if (age.match(/[a-zA-Z\\\\&#;%*$=]/g)) { alert('nope! ⊂(・﹏・⊂)'); window.history.back() } eval(`msg.innerHTML='This is recommended album for ${age}-year-old.'`); const img = document.createElement('img') img.src = 'https://upload.wikimedia.org/wikipedia/en/0/03/Post_Malone_-_Twelve_Carat_Toothache.png>'; ..

문제 풀이키워드: IPv4-mapped IPv6 address소스코드from flask import Flask, render_template, requestimport ipaddressimport urllib.parseimport urllib.requestimport urllib.errorapp = Flask(__name__)try: with open('flag') as f: flag = f.read()except FileNotFoundError: flag = 'flag{this_is_a_fake_flag}'@app.route('/')def form(): return render_template('index.html')@app.route('/vuln', methods=['PO..