MitNy

32번 문제는 투표 페이지 브루트포스 문제인데 들어가면 유저들의 목록이 뜨고 x/100 이렇게 투표가 되는걸 볼 수 가 있다. 맨 아래로 내려가면 Join이 있고, 이걸 눌러야 투표에 나를 추가할 수 있다.투표 목록에 있는 이름이나 숫자를 클릭하면 no!가 뜨고vote_check=ok; 라는 쿠키가 생성된다.그런데 아무리 눌러도 숫자가 증가하지 않는걸 보니 vote_check=ok; 라는 쿠키가 문제인 것 같다.쿠키를 삭제해가며 클릭해도 되지만Burp Suite를 이용해 풀어볼거다. 새로 알게 된 기능인데 Proxy 탭에서 Send to Repeater를 하면 반복작업을 할 수 있다. 그래서 쿠키를 vote_check=; 로 ok 부분을 삭제하고 Go를 누르면 숫자가 증가한다. Go를 99번 눌러서 99..

48번은 파일업로드와 MEMO를 동시에 할 수 있다.그래서 아무 파일이나 선택한 후 메시지를 써서 Send 하면 저렇게 보인다.다른 사람이 남긴 것도 볼 수 있는데, 파일의 이름은 3자리를 넘을 수가 없다.그래서 문서 폴더에 왜 있는지 모르는 hhh 파일이 있길래 업로드 해서 메모로는 hhh를 썼는데 하필 한글로 되어있어서 ㅗㅗㅗ가 됐다 ㅎㅎ upload file 을 눌러보면 내용과 상관없이 null이 뜬다. 그리고 Delete를 누르면 맨 위 사진과 같이 mode=del&time=1489222360 가 생긴다. Delete를 눌러야 뭔가 실행이 되는 것 같고rm (파일명) 이지 않을까 싶다.그렇다면 rm(파일명) ;(명령어) 를 해주면 될 것 같다.그래서 파일의 목록을 보기위해 파일명을 ;ls 로 해주..

43번은 webshell을 업로드 해서 푸는 문제인 것 같고 힌트는 file type이다. 파일을 선택하지 않고 제출 했을땐 wrong typre 이 뜨는데이 상태를 burp suite로 보면 비어 있는 filename="" 과 밑에 Content-Type이 보인다. php파일을 업로드 했을경우 access denied 가 뜨기 때문에파일 업로드 자체로는 php 파일을 업로드 할 수가 없어 보인다. 그래서 파일 이름은 아무거나.php로, Content-Type은 image로 바꿔주었다.text 형식도 가능한 것 같다. 끝~!

25번은 hello.txt 파일이 떠있고 password.php에 패스워드가 있을 것 같다. Local file inclusion (LFI) 와 관련된 문제인 것 같고file=password.php%00(null byte)를 해주니 문제가 풀렸다.null byte의 url디코딩 값을 못찾아내서 헤맸었다.

null byte를 이용한 XSS 필터 우회 문제인데alert(1);이 뜬다고 문제가 풀리는게 아니라 전체가 떠야 되는 것 같다. 그래서 이것저것 해보다가null byte를 앞쪽으로 옮겨봤더니 는 아직 뜨지 않았다.그래서 도 앞쪽에 null byte를 넣어줬더니 문제가 풀렸다. alert(1);%00

42번엔 test.txt와 test.zip을 다운받을 수 있다는 표가 있고 test.txt 다운로드를 누르면 test~~~가 뜨고 test.zip 다운로드를 누르면 Access Denied 가 뜬다. 뭘 어떻게 하면 test.zip을 다운로드 받을 수 있고, 다운 받은 파일에 플래그가 있을 것 같다. burp suite로 보면 test.txt를 눌렀을때 뜨는 내용인데?down=dGVzdC50eHQ= 이 수상하다.base64로 디코딩 해보니 test.txt 그럼 test.zip을 base64로 인코딩해서 ?down= 에 넣으면 다운로드 할 수 있지 않을까? 바꿔서 forward 몇번 해주면 test.zip을 받을 수 있다. 이 zip 파일엔 암호가 걸려있는데 42번의 페이지 소스를 보면 암호는 only n..

LOG INJECTION 과 관련된 문제이다.admin 을 넣으면 you are not admin admin이 아닌 다른걸 치면 로그에 (자신의 아이피):(친 내용) 이 뜬다. \nadmin을 치면 admin이 다음줄로 뜬다!그렇다면?? (자신의 아이피):admin이 되게 하면 문제가 풀리지 않을까(아무 문자)\n(자신의 아이피):admin을 쳐보자Login을 해도 아무 반응이 없었으나Log를 누르면 문제가 풀린다

26번은 index.phps만 있는데 들어가보면 id가 그냥 admin일땐 no!URL인코딩을 해야하는 것 같다.id값을 한 번 디코딩 했을때 비교를 해서 admin이 되려면 2번 인코딩 해줘야한다. 한번 인코딩 : %61%64%6D%69%6E두번 인코딩 : %2561%2564%256D%2569%256E ?id=%2561%2564%256D%2569%256E 해주면 풀린다.

password is?????소스에 setTimeout이 있는걸 보니 시간이 필요한 것 같다. 좀 기다려보니 Password is 뒤로 숫자,영어 소문자들이 한글자씩 나온다.노가다로 한글자씩 받아 적는 것도 해봤다. 하나씩 나오는걸 이어붙이기 위해 aview.innerHTML+=x.responseText; 로 코드를 바꿔주고모든 글자가 다 나오면 종료시키기 위해 두번째 if문에 alert(aview.innerHTML);로 코드 변경. 메모장에 적은건 하나씩 받아적은건데4가 2번 연속으로 있어서 코드를 변경시키지 않으면 틀리기 쉽상이다. 위의 문장을 Auth에 submit하면 클리어~!

6번도 쿠키 변조와 관련된 문제인데 힌트는 base64이다.콘솔창에서 document.cookie;를 치면user,password,PHPSESSID가 뜬다. index.phps를 열면$val_id 는 user, $var_pw는 password 임을 알 수 있다. user=Vm0wd%40QyUXlVWGxWV0d%5EV%21YwZDRWMVl%24WkRSV0%21WbDNXa%21JTVjAxV%40JETlhhMUpUVmpBeFYySkVUbGhoTVVwVVZtcEJlRll%26U%40tWVWJHaG9UVlZ%24VlZadGNFSmxSbGw%21VTJ0V%21ZXSkhhRzlVVmxaM%21ZsWmFjVkZ0UmxSTmJFcEpWbTEwYTFkSFNrZGpSVGxhVmpOU%21IxcFZXbUZrUjA%21R%21..