KISA 해킹 방어 훈련장 문제에 대한 풀이입니다. 

Web Level2 문제를 보면 아래와 같습니다. 

문제 풀기를 클릭하면 다음 사이트로 이동합니다. 

해당 사이트에 들어가니 다음과 같은 문구와 함께 입력창이 보입니다. 

우선 주어진 예제 문구를 넣어봅시다. 

예상은 했지만 역시나 차단 됩니다. 

이번에는 특수 기호에 대한 필터링 기능을 확인 해보기 위해 아래처럼 변경해서 다시 시도해봅시다. 

이번에는 차단이 되진 않지만 뭔가 다른 결과가 보여집니다. 

입력했던것과 비교해 보니 script라는 문자열을 필터링 하는것 같은 느낌이 드네요. 

그렇다면 script라는 문자열을 교묘하게 2번씩 써주는 방법으로 다시 시도해봅시다. 

의도한 바는 XSS 필터링에 의해서 script라는 문구가 제거되고 나면 sscriptcript 처럼 동작해서 결국 script라는 문구가 남게 되는 겁니다. 

짜잔~

간단하게 XSS 보안 취약점을 찾았네요. 

이렇게 2단계는 생각보다 수월하게 풀 수 있답니다. 

KISA 해킹 방어 훈련장 문제에 대한 풀이입니다. 

Web Level1 문제를 보면 아래와 같습니다. 

문제 풀기를 클릭하면 다음 사이트로 이동합니다. 

여기저기 둘러 봐도 딱히 볼만한게 없어 보이네요. 

뭔가 참고할 만한 내용이 있는지 각 페이지의 html소스를 살펴보다 보니 뭔가 수상한 내용이 보입니다. 

product_details.html파일 입니다. 

속성이 'hidden'으로 된 'authkey'라는 이름의 값이 보이는군요. 

딱 봐도 뭔가 난독화된 코드 같다는 느낌이 드네요. 

난독화된 코드를 풀어보기 위해 적당한 사이트를 구글링을 해서 찾아봅시다. 

저는 아래 사이트를 이용했습니다. 

http://htmlobfuscator.com/

value에 해당하는 내용을 복사한 다음 윗쪽 입력 창에 붙여넣고 'obfuscate'버튼을 눌러봅시다. 

원래는 난독화를 시키기 위한 기능 같은데.. 어쨌든 하단 창에 복호화된 코드 내용이 출력됩니다. 

이제 이 내용을 실행시켜보면 됩니다. 

실행 시키는 방법은 많겠지만.. 따로 파일을 만드는게 귀찮으시다면 저처럼 w3schools사이트를 잘 활용 하시면 됩니다. 

w3schools.com 사이트에 들어가셔서 아무 메뉴나 들어가 보면 'Try it yourself'라는 버튼이 보입니다. 

소스를 입력하고 실행시키면 결과 화면을 보여주는 기능입니다. 

아래와 같은 창이 뜨고 왼쪽편 입력 창에 디코드된 자바 스크립트 코드를 붙여넣고 'Submit Code' 버튼을 누르면..

짜잔~ 실행 결과가 팝업창으로 뜹니다. 

스포일러를 할 순 없으니 키 값은 지웠습니다. ^^ 

네트워크(network) 분석이나 포렌직(forensic)을 하다보면 특정 포맷의 파일이 포함되어 있거나 숨겨져 있는 경우가 있습니다. 

이럴때 파일 포맷 별 매직 넘버(magic number)를 알고 있다면 좀 더 쉽게 문제를 해결 할 수 있습니다. 

모든 파일에 대해 다 알아둘 필요는 없지만 자주 사용되는 파일 포맷에 대해서는 알아두면 유용합니다. 

이미지 파일에서 문자열을 추출하거나 captcha를 우회하기 위해 captcha로 부터 문자열을 추출해야 하는 경우에 이미지의 문자 상태가 양호한 편(복잡한 형태의 captcha는 안됨)이라면 간단하게 pytesser라는 라이브러리를 활용해서 문자열을 추출 할 수 있습니다. 

참고로, 우분투 12.04 버전을 기준으로 작성하였습니다. 

1. 먼저 아래의 우분투 패키지들을 설치해줍시다. 

2. pytesser를 설치하기 위해 필요한 파일들을 각 사이트에 접속해서 다운 받아서 설치합니다. 

2.1 leptonica 를 설치합시다. (leptonica-1.69.tar.bz2)

다운로드 주소: 

컴파일 및 설치 명령어 

2.2  Tesseract 를 설치합시다. (  tesseract-ocr-3.02.02.tar.gz)

다운로드 주소:

컴파일 및 설치 명령어 

2.3  Tesseract 언어 데이터 파일을 설치합시다. ( tesseract-ocr-3.02.eng.tar.gz)

영어를 인식해서 문자열을 추출하기 위해 영어 데이터 파일을 다운 받았습니다. 

다운로드 주소:

설치:

다운 받은 파일을 압축을 풀어서 다음 폴더로 옮겨 줍시다. 

2.4  pytesser를 다운 받읍시다.  ( pytesser_v0.0.1.zip )

다운로드 주소:

pythess를 사용할 폴더에서 다운 받은 파일의 압축을 풀어줍니다. 

3. 테스트  

바로 이미지 파일 디코드를 시작해도 되지만, 우선 제대로 설치 됐는지 확인해보는게 좋습니다. 

pytesser 파일의 압축을 풀어 놓은 폴더로 이동해서 테스트로 파이썬 파일을 하나 만들어서 아래와 같은 코드로 테스트 해 봅시다. 

※ 소스코드를 더블클릭하면 복사가 가능합니다. 

4. 코드 작성 및 즐기기 

위의 테스트코드가 정상적으로 동작한다면 아래와 같이 원하는 코드를 작성하셔서 사용하시면 됩니다. 

getpixel() 함수로 픽셀값을 가져오고 putpixel() 함수로 원하는 위치의 값을 변경 할 수 있습니다. 

참고로, 255가 흰색이고 0이 검은색입니다. 

위 코드는 검은색이 아닌 즉, 글씨가 아닌 부분을 하얗게 처리하기 위한 코드인거죠. 

이걸 잘 활용해서 글자에 구멍 난 부분을 메울 수 도 있겠죠? 

이미지 보정 작업을 하면 아래처럼 컴퓨터가 인식하기에 좀 더 편하게 만들어 줄 수 있답니다. 

다양한 이미지 처리 함수에 대해 알고 싶다면 아래 사이트를 참고하시면 됩니다. 

PIL 함수 참고 사이트 =>  http://effbot.org/imagingbook/image.htm

KISA 해킹 방어 훈련장 문제에 대한 풀이입니다. 

System Level2 문제를 보면 아래와 같습니다

접근 포트가 22번 이므로 SSH로 접속해봅시다.

주어진 비밀번호를 입력하면 접속이 이루어집니다. 

우선 현재 폴더에 어떤 파일들이 있는지 확인 해봅시다. 

1번 문제와 매우 유사한 형식의 실행 파일인것을 알 수 있습니다. 

우선 파일을 실행해 봅시다. 

한참을 시도한 끝에 숫자를 맞추게 되면 아래와 같은 메시지가 나오면서 종료됩니다. 

권한을 확인해 봅시다. 

실제 화면을 보면 이렇습니다. 

이제 1번 문제와 동일하게 key파일에 들어 있는 내용을 읽으면 끝!

문제 출제자의 의도대로 푼게 맞는지는 모르겠지만.. 어쨌든 잘 풀리니 더 고민하지 않기로 했습니다. ^^ 

KISA 해킹 방어 훈련장 문제에 대한 풀이입니다. 

System Level1 문제를 보면 아래와 같습니다. 

접근 포트가 22번 이므로 SSH로 접속해봅시다.

주어진 비밀번호를 입력하면 접속이 이루어집니다. 

우선 현재 폴더에 어떤 파일들이 있는지 확인 해봅시다. 

다음 필드인 소유자ID와 소유자의 그룹ID를 보면, 그룹ID는 접속해 있는 'system100'인데 소유자는 'root100'이군요. 

다시 말해서, 파일을 실행하면 root100의 권한을 얻을 수 있다는 의미가 됩니다. 

자, 실행 권한이 있는것을 확인 했으니 system100파일을 실행해봅시다. 

문제 설명에서 처럼 입력한 값을 그대로 출력해주고 바로 종료되버립니다. 

프로그램을 종료 시키지 않고 우리가 원하는 어떤 정보를 출력하도록 해야겠죠?

이번 문제에서 찾아야할 취약점은 특수 문자에 대한 예외처리가 제대로 이루어 지지 않아서 발생하는 문제점 입니다. 

linux 명령어에서 '&'는 프로세스를 백그라운드로 실행 되도록 하는 명령입니다. 

이 문자 뒤에 'bash'를 실행하도록 입력값으로 넣어봅시다. 

mouseover, mousemove, mouseout 세 가지 액션에 대해 정의해 줍니다. 

mouseover:

현재 마우스가 위치한 곳의 title 속성의 값을 가져와서 보여줍니다. 

마우스의 위치에 따라 툴 팁이 보여지는 위치가 달라지므로 css 함수를 써서 위치 정보를 가져오도록 합니다. 

mousemove:

마우스를 움직일 때 마다 툴 팁이 마우스를 따라 다니도록 마우스의 위치 값을 가져다가 툴 팁의 위치를 업데이트 해줍니다. 

mouseout:

마우스가 링크 정보가 담긴 위치를 벗어 났다면 툴 팁이 보이지 않도록 제거해 줍니다. 

2. css 

툴 팁의 배경 색깔과 폰트 등을 설정해줍니다. 

3. html 

마우스를 가져갔을 때 툴 팁을 보여주기 위한 html입니다.

DJango를 사용하고 있다면 title값은 변수로 넘겨받은 값으로 지정해주는 것도 가능합니다. 

• 1단계: 문제 의도 파악하기 

• 2단계: Blind SQL Injection에 대해 알아보기 

• 3단계: 웹 서버 구동시키기 

• 5단계: schema column 탐색 

• 6단계: 키 값 찾기

• 별첨: 파이썬(Python) 웹서버 코드 : 

주어진 링크를 따라 들어가봅시다. 

HTTP 인증창이 뜨는군요. 

우선 링크를 다시 보니  'Auth with MySQL' 이라고 되어 있네요. 아마도 MySQL 인증과 관련된 문제인것 같습니다. 

자! 단계별로 차근 차근 풀어봅시다.

• 1단계: User Name 알아내기 

우선 가벼운 마음으로 guest/guest로 로그인을 시도해 봅시다. 

헐~ 그냥 로그인이 되는군요. 

흐뭇한 마음으로 내용을 살펴 봤더니 별로 의미 없는 데이터만 있는것 같군요. 

그나마 name, group, address, phone number, hitnum 같은 데이터가 들어있다는걸 참고 할 수는 있겠네요. 

우리가 알고 싶은건 guest에 대한 정보고 아니니 관리자에 대한 계정 정보를 더 찾아봅시다. 

Level5에서 했던 메소드(method)변경을 통한 인증 우회가 생각 나는군요. 

밑져야 본전이니 시도해봅시다. 

http://kthan.tistory.com/163 <-- 메소드 변경을 통한 인증 우회기법 보러가기 

'Dev HTTP Client'를 실행해서 링크 정보를 넣고  메소드를 'OPTIONS'로 변경 한 후 

'HEADERS'필드에 인증 정보를 넣어줍시다. 

인증 정보는 '계정명:비밀번호'를 base64 인코딩 한 값이 들어갑니다.  

양식은 아래와 같습니다. 

관련 설정을 마친 후에 'Send' 아이콘을 클릭해주면 됩니다. 

'admin'이란 계정이 존재하나 봅니다. 관련 정보도 모두 보이네요. 

왠지 술술 풀리는 기분이 드는군요. 

기쁨도 잠시.. 비밀번호에 해당하는 정보는 보이지 않고 뭔가 힌트가 될만한 정보도 없어 보입니다. 

다시 한번 URL에 있던 'MySQL'이란 단어를 떠올려 봅시다. 

이 문제는 'admin' 인증을 우회하는 문제가 아니라 'SQL Injection'을 통해 뭔가를 알아내야 하는 문제인가 봅니다. 

아쉬움을 털어 버리고 본격적으로 SQL Injection을 시도해봅시다. 

• 2단계: DB 테이블 갯수 알아내기 

먼저 1단계에서 테이블의 열(column)의 갯수가 5개 + a 정도 될것이란걸 알게 됐죠. 

하지만, 어디까지나 추측일 뿐 정확히 갯수를 알아보기 위해 아래와 같은 쿼리문을 보내봅시다. 

방법은 1단계에서와 같이 인증 정보를 Base64 인코딩을 한 후 보내면 됩니다. 

Base64 인코딩은 웹사이트에서도 가능하고 우분투(리눅스)환경에서는 아래 명령으로 간단하게 실행 할 수 있습니다. 

다음 MySQL 명령의 숫자값을 순차적으로 증가시켜 가면서 패킷을 전송해봅시다. 

이 명령은 'guest' 계정으로 가져온 결과값을 '1'번째 열(column)을 기준삼아 보여주라는 의미가 됩니다. 

저 숫자가 '7'이 되면 아래와 같은 오류 메시지가 나오게 됩니다. 

'7'번째 열(column)이 없어서 나온 오류입니다. 

참고로, HEADERS에 넣은 값은 아래 명령으로 구했습니다. 

이제 테이블의 열(column)이 6개라는걸 알게 됐습니다. 

• 3단계: schema table 탐색

MySQL을 사용하게 되면 'INFORMATION_SCHEMA'가 모든 테이블의 열(column)의 이름을 가지고 있습니다. 

모든 다른 테이블의 이름을 갖는 'INFORMATION_SCHEMA'의 테이블 이름은 'INFORMATION_SCHEMA.TABLES' 입니다. 

'INFORMATION_SCHEMA.TABLES'의 정보를 갖는 열(column)의 이름을 'table_name'이라고 합니다. 

먼저 이 값들을 찾아봅시다. 

여기서 부터는 쿼리문만 적겠습니다. 위에서 했던 방식데로 Base64인코딩 후 테스트 하시면 됩니다. 

이 쿼리문의 의미를 단계별로 살펴봅시다. 

• -1' 는 일부러 매치되는 값이 없도록 하기 위해 잘못된 값을 주는 겁니다. 
• UNION 은 뒤에 오는 쿼리문을 실행 할 수 있도록 해주는 접속 명령어 정도로 생각하시면 됩니다. 
• SELECT FROM 은 MySQL 기본 쿼리문으로 FROM 뒤에 오는 테이블에서 SELECT뒤에 오는 내용을 가져와서 보여줘라는 의미입니다. 
• table_name 은 'INFORMATION_SCHEMA.TABLES'에서 테이블 명을 보여주기 위한 이름입니다. 
• limit 은 보여줄 값을 지정해주는 명령으로 뒤에 '시작위치,표시갯수'와 같은 형식으로 표현하는게 가능합니다. 즉, '0,1'은 처음위치에서 1개의 값을 보여주라는 의미입니다. 이 옵션을 쓰지 않으면 항상 테이블의 처음 값만 보여지게 됩니다. 

이제 쿼리문을 이해 했다면 인코딩한 값으로 패킷을 날려봅시다. 

쿼리문이 화면에 나오고 'table_name'에 해당하는 값이 1번째 열(column)인 'name' 위치에 보여지는걸 확인 할 수 있습니다. 

limit의 시작위치값을 0에서 부터 순차적으로 증가시켜 가면서 다른 값들도 찾아봅시다. 

값을 정리해보면 다음과 같습니다. 

우리가 관심을 가져야 할 건 맨 아래있는 'keytable'과 'user_info'입니다. 

이름만 봐도 우리가 원하는 내용이 저기에 있을것 같다는 생각이 들지 않나요? 

• 4단계: schema column 탐색

MySQL의 모든 다른 열(column)의 이름을 갖는 'INFORMATION_SCHEMA'의 테이블을 'INFORMATION_SCHEMA.COLUMNS'라고 부릅니다. 

'INFORMATION_SCHEMA.COLUMNS'의 정보를 갖는 열(column)의 이름을 'column_name'이라고 합니다. 

3단계에서 알게된 'keytable'에 대해 'INFORMATION_SCHEMA.COLUMNS'를 구해봅시다. 

쿼리문은 다음과 같은 형식으로 하면 됩니다. 

쿼리문의 의미를 살펴보면 

SELECT FROM WHERE 는 FROM 뒤에 오는 테이블에서 WHERE 뒤에 오는 조건에 해당에 해당되는 값 중에서 SELECT뒤에 오는 내용을 보여주라는 의미입니다. 

다른 내용은 3단계에서와 동일하므로 생략하겠습니다. 

이제 Base64로 인코딩해서 패킷을 전송해 봅시다. 

'keytable'의 첫번 째 열(column)의 값은 'no'라는걸 알 수 있습니다. 

이와 같은 방식으로 limit의 시작위치 값을 증가 시켜가면서 다른 정보도 알아봅시다. 

• 5단계: 테이블의 값 알아보기 

지금까지 알아낸 정보들을 가지고 'keytable'에 들어있는 값들을 알아봅시다. 

값을 알아보기 위한 쿼리문 입니다. 

쿼리문의 의미를 살펴보면

keytable에서 no와 value값을 보여주라는 의미가 됩니다. 

'no'와 'value'를 1,3 번 위치에 쓴 이유는 2번은 password로 추정되는 값이 들어가 있다보니 화면상에 보여지지 않기 때문입니다. 

이제 패킷을 전송해봅시다. 

결과 화면에 'value'에 해당하는 값이 'group'에 표시 됐네요. 

이 값을 가지고 사이트에서 인증하시면 됩니다. 

• 여담. 

매번 쿼리문을 인코딩하는게 번거롭다면 우분투(리눅스)환경에서 패킷을 전송하는 스크립트를 작성해서 하면 더욱 편리합니다. 

제가 작성해서 사용한 스크립트 입니다. 

간략하게 설명을 드리자면..

• ID와 PW를 입력받아서 Base64 인코딩을 수행한 후 
• 와이어샤크(wireshark)로 잡은 패킷을 복사해서 붙여 넣은 후 
• 메소드(method)와 인증 정보만 수정해서
• nc(netcat)을 사용해서 보내도록 한 겁니다. 

스크립트 실행은 계정 정보와 비밀번호를 입력값으로 주면 되구요.. 계정 정보만 입력해도 정상 동작합니다. 

주어진 링크를 따라 들어가봅시다. 

크롬(chrome)으로 들어가면 달팽이 이미지가 보이고, 'Target Point' 에 매우 큰 숫자가 보입니다. 

그리고 저절로 숫자가 올라가면서 'Target Point' 뒤에 글자가 바뀌는군요. 

그런데 무슨 의도인지 알기가 애매합니다. 

혹시 모르니 익스플로러(Explorer)로 들어가봅시다. 

아..마우스로 개미를 클릭 할 때마다 숫자가 올라가는 개미 잡기 게임이였군요. 

자! 단계별로 차근 차근 풀어봅시다.

• 1단계: 자바스크립트 내용 보기 

화면에서 마우스 우 클릭 후 'View Page Source'를 선택합니다. 

소스를 보면 매우 긴 자바 스크립트가 보이게 되죠. 

그런데 내용은 매우 길지만 난독화가 되어 있어서 도무지 알아볼 수가 없네요. 

• 2단계: 난독화된 코드 복호화 하기 - 크롬

크롬은 기본적으로 자바스크립트 난독화 코드에 대해 복호화 해주는 기능을 제공해줍니다. 

'F12'키를 눌러 봅시다. 

화면 하단부에 html 소스가 보입니다. 

'<html>'의 '<head>'에 자바스크립트가 나와있는게 보입니다. 

자바스크립트에서 'Target Point'인 '4294967296'를 검색해봅시다. 

point별로 화면에 보이던 문자가 보이는걸 보니 우리가 찾던 소스인것 같네요. 

그리고, point가 'Target Point'보다 클 경우에 대한 내용도 나와 있습니다. 

• 2단계: 난독화된 코드 복호화 하기 - 파이어폭스(Firefox)

파이어폭스에서는 마우스 우 클릭 후 'Inspect Element(Q)'를 선택하면 됩니다. 

역시나 하단부에 스크립트 내용이 보이게 되고 크롬브라우저와 동일하게 point를 계산하는 코드를 찾아보시면 됩니다. 

• 3단계: 정답 페이지 찾기 - 크롬

위에 코드를 보니 point 값을 넣어주는 부분이 보이는 군요. 

크롬의 훌륭한(?) 기능을 활용해서 이 값을 변경해 봅시다. 

브라우저의 주소 입력창에 아래와 같이 입력해봅시다. 

앞에 'javascript:'를 붙여서 자바스크립트의 특정 값을 지정해줄 수 있는 기능입니다. 

잠시후.. 

다른 페이지로 이동되면서 화면에 답이 똭~! 나오네요. 

• 3단계: 정답 페이지 찾기 - 파이어폭스

문제의 코드를 자세하게 살펴 봅시다. 

point가 목표 수치에 도달하면 'o'라는 변수에 a,b,c,d,e 각각의 'a.value'를 붙이도록 되어 있군요. 

그리고 나선 'location.href'로 링크를 현재 페이지의 뒷 부분을 지정해주도록 해줬네요. 

그럼, a,b,c,d,e라는 변수에 어떤 값이 들어있는지를 찾으면 되는 거네요. 

자, 자바스크립트를 보여주는 화면의 끝으로 이동해봅시다. 

<form name="a"> 가 보이고..  값이 "Crazy"라고 나오는군요. 

그 아래로 b,c,d,e가 모두 보입니다. 

위에서 봤던 코드에서 b,e,c,a,d 순서로 문자를 더했으니 우리도 그 순서대로 더해봅시다. 

'IdontLikeCrazyCow'가 되는군요. 

이제 주소창에 구한 답을 가지고 링크를 아래와 같이 입력해봅시다. 

역시 정답 페이지가 나옵니다. 

스마트한 브라우저 덕분에 난독화된 자바스크립트 보는거 참 쉽죠?