☁️ Guleum LAB

전 단계의 코드를 실행시켜 본 결과 팝업창을 띄우지 못하고 있습니다. 또한 전 단계들과는 다르게 입력되는 폼이 존재하지 않고 DOM 방식의 형태로 URL 입력창에 코드를 삽입함으로써 팝업창을 실행시키도록 하고 있습니다. 페이지 소스를 확인해보니 스크립트 태그 안에 적절한 코드를 삽입해야만 팝업창이 실행되기 때문에 조금은 고민해볼 필요가 있습니다. 해결 방법 1. ;(세미콜론) 2. 주석 우선 javascript 에서 ;(세미콜론)은 명령이 끝났다는것을 명시적으로 구분해줍니다. 즉 세미콜론 없이 a=''alert('guleum') 형태로 입력되면 "a" 라는 변수와 "alert" 그리고 이후의 코드가 구분되지 않기 때문에 문법 오류가 발생됩니다. 만일 a='';alert('guleum'); 형식으로 중간에..

전 단계에서 사용한 공백 치환 구문을 삽입해본 결과 성공적으로 실행되지 않고 있습니다. 어떠한 구문을 검증하고 있는지 소스를 통해 확인해 본 결과 "()(괄호)"와 팝업창을 띄워주는 "alert"가 필터링되고 있습니다. 괄호의 경우 제거를 하고 있으며 alert는 -> Alert로 변경시킴으로써 의미 없는 구문을 만들고 있습니다. 괄호 제거의 코드를 우회할 수 있는 방법은 ` --> "back-tick" 백틱을 사용해주시면 됩니다. 또한 alert를 혼돈시키고 있기 때문에 이번 문제에는 "confirm"이나 "prompt"로 변경하여 사용해주시면 됩니다. 성공후 페이지 소스를 확인해보시면 검증하는 alert 대신 confirm으로 대체하고 괄호를 대신한 백 틱으로 구분을 해줬기 때문에 팝업창 성공적으로 ..

11번째 문제인 " golem " 문제를 확인해보면 2가지 검증절차를 거치고 있습니다. if(preg_match('/prob|_|\.|\(\)/i', $_GET [pw])) exit("No Hack ~_~"); if(preg_match('/or|and|substr\(|=/i', $_GET[pw])) exit("HeHe"); 검증하고 있는 문구들을 확인해보면 주로 사용되는 연산자인 " or, and, = " 그리고 문자열을 출력해주는 함수인 " substr " 까지 검증을 하고 있습니다. 전 단계의 레벨에서는 or와 and 연산자 대체 기법을 사용했지만 substr 함수까지 우회해야 되니 좀 더 까다로워졌다고 볼 수 있습니다. $query = "select pw from prob_golem where id..

10번째 문제인 " skelton "입니다. if(preg_match('/prob|_|\.|\(\)/i', $_GET [pw])) exit("No Hack ~_~"); 검증되는 문자열을 확인해 보면 이처럼 특수기호 몇개만 검증을 하고 있습니다. $query = "select id from prob_skeleton where id='guest' and pw='{$_GET [pw]}' and 1=0"; 우리가 사용할 변수는 " pw='{$_GET[pw]} " 이 부분을 사용하면 될 거 같지만 " and 1=0 " 연산자가 포함되어 있기 때문에 '1'='1' 형태의 참값을 대입해도 거짓 값으로 인식을 하고 있습니다. if($result ['id'] == 'admin') solve("skeleton"); 또한 ..

9번째 문제인 " vampire " 단계입니다. 쿼리문을 입력받아 실행되는 변수는 " id='{$_GET [id]} " 로 전에 풀었던 문제들과 유사하게 키워드 우회를 해야 될 것 같아 보입니다. $_GET [id] = str_replace("admin", "",$_GET [id]); replace 함수를 통해 쿼리문에 " admin " 이 포함되어 있는 경우 실행이 되지 않습니다. 또한 대, 소 문자를 구분하지 않고 있기 때문에 ADMIN 같은 대문자로 접근해도 실패하기 때문에 이럴 때는 혼돈화 기법을 사용해서 해결하면 됩니다. 블랙리스트로 해당 키워드를 대소문자 구분 없이 제거하고 있는 경우에는 아래와 같은 방법으로 문자열 사이에 삽입하는 혼동화 기법을 이용하게 되면 중간에 " admin " 키워드는..

" troll " 문제의 경우 쿼리문을 실행시켜주는 변수가 pw 가 아닌 " id='{$_GET[id]} " 즉 id 인 것을 확인할 수 있습니다. 이번 문제는 패스워드를 도출시키는 것이 아닌 해당 계정으로 그냥 접근하기만 하면 될 것 같습니다. 해당 문제는 특정 " 키워드 "를 블랙리스트 방식으로 필터링 정책을 걸어두면 어떻게 접근을 시도해 볼 것인가? 에 대한 고민을 해보는 문제였던 것 같습니다. 쉽게 생각하면 굉장히 쉬운 문제이고 어렵게 생각하면 너무 멀리 돌아갈 수도 있는 문제입니다. MYSQL 은 기본적으로 대소문자 구분이 없어서 " admin " = " ADMIN "이나 똑같은 결과로 받아들이지만 상단의 소스를 보시면 preg_match에 선언된 코드가 문제인 것으로 파악됩니다. /admin/..

7번째 문제인 " orge " 는 전에 풀었던 " orc " 문제와 유사합니다. " pw='{$_GET [pw]} " 안에 쿼리문을 삽입하여 실행되는 형태이지만 몇 가지 다른 점이 존재합니다. 검증구문 1. 기존 admin 계정 이외에 guest 계정이 추가적으로 존재함 2. or , and 연산자를 추가적으로 검증하고 있음 문제를 해결하기 위한 포인트 부분은 $query = "select pw from prob_orge where id='admin' and pw='{$_GET [pw]}'"; if(($result ['pw']) && ($result['pw'] == $_GET ['pw'])) solve("orge"); 위처럼 'admin' 계정으로 접근할 수 있도록 추가적으로 선언해줘야 하며, 입력된 p..