KISA 해킹 방어 훈련장 문제에 대한 풀이입니다. 

Web Level 4 문제를 보면 아래와 같습니다. 

파일을 읽는 문제라고 하는군요. 무슨 뜻일까요? 

[문제 풀기]를 클릭해서 링크를 따라 들어가 봅시다. 

메뉴를 이것저것 클릭하다 보니 URL에 '?path=main' 처럼 값을 줘서 보여줄 화면을 지정하고 있는걸 알 수 있습니다. 

크롬(chrome) 브라우저의 요소 검사(Inspect Element)로 소스를 봐 봅시다. 

소스의 맨 위에 'readme.php'라는게 보입니다. 

왠지 저 파일에 뭔가 문제를 풀 수 있는 힌트가 숨겨져 있을것 같은 느낌이 드는군요.  

그래서 제목이 파일 읽기 인가 봅니다. 

자신있게 URL의 path값을 readme.php 로 수정해 봅시다. 

이런.. 아무것도 나오지 않는군요. 

역시 그렇게 간단한 문제는 아닌가 봅니다. 

포기하지 말고 readme.php파일을 보기 위해 여러가지 기법을 사용해 봅시다. 

먼저 LFI(Local File Inclusion)기법 중 가장 많이 사용되는 base64 encode방식으로 시도해 봅시다. 

화면에 'no hack'이란 메시지가 나오네요. 

이런 수법을 사용할걸 미리 알고 다 막아놨나 봅니다. 

그렇다고 여기서 포기하면 안되죠. 

PHP 사이트 에 가서 다른 필터 방식을 찾아 봅시다. 

우선 conversion 필터 내용을 확인 해보고 시도해봤으나 역시나 다 막혀있네요. 

이번에는 String 필터쪽을 살펴봅시다. 

문자열(String) 필터 링크를 따라 들어가봅시다. 

'string.rot13'이 지원 된다고 하는군요. 

이게 뭔가 찾아보니 '카이사르 암호의 일종으로 영어 알파벳을 13글자씩 밀어서 만든다.' 라고 하는군요. 

큰 기대가 되진 않지만 우선 시도해봅시다. 

URL을 다음과 같이 수정해서 시도하면 됩니다. 

화면에는 아무것도 나타나지 않지만 크롬 브라우저의 '요소 검사(Inspect Element)'기능의 'Resources' 탭에서 보니 뭔가 메시지가 보이네요. 

우리가 rot13 방식으로 인코딩 했으니 이 값을 디코딩 하면 무슨 값이 되는지 해봅시다. 

rot13 을 디코딩 해주는 사이트를 찾아 들어가봅시다. 

먼저 앞에 있는 값 'xrl'을 입력하고 디크립트(decrypt)를 수행했더니 'key'라고 나오네요. 

그렇다면 뒤에 있는 값은 우리가 찾는 키 값이 되겠죠?

값을 입력하고 디크립트를 수행하면 그토록 애타게 찾던 키 값이 나옵니다. ^^ 

base64 인코딩 방식으로 풀어보려 URL을 인코딩도 해보고.. 별별 방법으로 엄청 삽질 했네요. 

문제를 풀고나니 오히려 허무하기까지 한 문제였지 않나 싶습니다. 

KISA 해킹 방어 훈련장 문제에 대한 풀이입니다. 

Network Level 2 문제를 보면 아래와 같습니다. 

문제 풀기를 클릭하면 proc_p2.pcap파일을 다운 받을 수 있습니다. 

와이어샤크(wireshark)로 열어봅시다. 

그리고, 메뉴에서 'statistics > conversations'을 선택해봅시다. 

보다 보니 telent 통신을 한 내역이 있네요. 

암호화 되어 있지 않아서 서로 주고받은 데이터를 모두 볼수가 있네요. 

아래쪽으로 내려보니 로그인 정보가 있습니다. 

설마 이렇게 쉬운 문제를 냈을까 싶지만.. 이 값이 문제에서 요구한 인증키 입니다. 

단, 저 문구를 통채로 넣는것은 아니구요.. 일부만 넣어야 합니다.

일부가 어디부터 어디까지 인지는 문구를 보면 아마도(?) 아실 겁니다. 

만약, 봐도 감이 안온다면 그냥 여러번 시도하시면 되니깐 푸는데는 지장 없을 겁니다. 

KISA 해킹 방어 훈련장 문제에 대한 풀이입니다. 

Network Level1 문제를 보면 아래와 같습니다. 

문제 풀기를 클릭하면 findkey2.pcap 파일을 다운 받을 수 있습니다. 

와이어샤크(wireshark)로 열어봅시다. 

메뉴에서 'statistics > conversations'을 선택해봅시다. 

두 호스트 간 통신한 내용을 간략하게 정리해서 보여주는 기능입니다. 

이제 하나 하나 'Follow Stream' 버튼을 눌러가며 통신 내용을 살펴 봅시다. 

TCP 프로토콜 6664번 포트로 통신한 내용입니다. 

HanIRC 통신인데 평문으로 통신했기 때문에 대화 내용을 모두 볼 수가 있네요.

혹시나 대화 중에 키 값이 있을 지 모르니 찬찬히 대화 내용을 살펴 보았지만 별 다른 내용이 없습니다. 

그런데, 대화 마지막에 'my.zip' 파일을 보내겠다고 하는군요. 

혹시 주어진 pcap파일에 my.zip파일을 전송하는 패킷이 포함되어 있을 지 모르니 한 번 찾아봅시다. 

만약, zip파일의 header/footer 값을 알고 있다면 수월합니다. 

메뉴의 'Edit > Find Packet' 을 선택해봅시다. 

'Hex Value'를 선택하고 zip파일의 header인 '50 4B 03 04 14'를 넣고 'Find'버튼을 클릭해봅시다. 

패킷 하나가 검색 되었네요. 

해당 패킷에서 마우스 우 클릭 후 'Follow TCP Stream' 메뉴를 선택해봅시다. 

통신 한 내용이 나옵니다. 즉, zip파일의 내용에 해당하겠죠. 

화면 하단의 'Save As'를 선택 후 원래 보내려던 이름인 'my.zip'으로 저장해봅시다. 

저장된 zip 파일을 열어봅시다. 

zip파일 안에는 'my.txt'라는 파일이 있고 파일을 열어보면 key값이 들어있습니다. 

약간의 인내심을 가지고 노가다를 해야 하긴 하지만 의외로 쉽게 풀리는 문제입니다. 

만약, conversations 메뉴에서 아래 그림처럼 zip파일을 전송하는 tcp flow를 찾았다면 더 간단하게 문제를 풀 수 도 있었을 겁니다. 

'Follow Stream' 버튼을 클릭하면 my.zip 파일을 주고받는 통신을 바로 볼 수 있습니다.

주어진 링크를 따라 들어가봅시다. 

크롬(chrome)으로 들어가면 달팽이 이미지가 보이고, 'Target Point' 에 매우 큰 숫자가 보입니다. 

그리고 저절로 숫자가 올라가면서 'Target Point' 뒤에 글자가 바뀌는군요. 

그런데 무슨 의도인지 알기가 애매합니다. 

혹시 모르니 익스플로러(Explorer)로 들어가봅시다. 

아..마우스로 개미를 클릭 할 때마다 숫자가 올라가는 개미 잡기 게임이였군요. 

자! 단계별로 차근 차근 풀어봅시다.

• 1단계: 자바스크립트 내용 보기 

화면에서 마우스 우 클릭 후 'View Page Source'를 선택합니다. 

소스를 보면 매우 긴 자바 스크립트가 보이게 되죠. 

그런데 내용은 매우 길지만 난독화가 되어 있어서 도무지 알아볼 수가 없네요. 

• 2단계: 난독화된 코드 복호화 하기 - 크롬

크롬은 기본적으로 자바스크립트 난독화 코드에 대해 복호화 해주는 기능을 제공해줍니다. 

'F12'키를 눌러 봅시다. 

화면 하단부에 html 소스가 보입니다. 

'<html>'의 '<head>'에 자바스크립트가 나와있는게 보입니다. 

자바스크립트에서 'Target Point'인 '4294967296'를 검색해봅시다. 

point별로 화면에 보이던 문자가 보이는걸 보니 우리가 찾던 소스인것 같네요. 

그리고, point가 'Target Point'보다 클 경우에 대한 내용도 나와 있습니다. 

• 2단계: 난독화된 코드 복호화 하기 - 파이어폭스(Firefox)

파이어폭스에서는 마우스 우 클릭 후 'Inspect Element(Q)'를 선택하면 됩니다. 

역시나 하단부에 스크립트 내용이 보이게 되고 크롬브라우저와 동일하게 point를 계산하는 코드를 찾아보시면 됩니다. 

• 3단계: 정답 페이지 찾기 - 크롬

위에 코드를 보니 point 값을 넣어주는 부분이 보이는 군요. 

크롬의 훌륭한(?) 기능을 활용해서 이 값을 변경해 봅시다. 

브라우저의 주소 입력창에 아래와 같이 입력해봅시다. 

앞에 'javascript:'를 붙여서 자바스크립트의 특정 값을 지정해줄 수 있는 기능입니다. 

잠시후.. 

다른 페이지로 이동되면서 화면에 답이 똭~! 나오네요. 

• 3단계: 정답 페이지 찾기 - 파이어폭스

문제의 코드를 자세하게 살펴 봅시다. 

point가 목표 수치에 도달하면 'o'라는 변수에 a,b,c,d,e 각각의 'a.value'를 붙이도록 되어 있군요. 

그리고 나선 'location.href'로 링크를 현재 페이지의 뒷 부분을 지정해주도록 해줬네요. 

그럼, a,b,c,d,e라는 변수에 어떤 값이 들어있는지를 찾으면 되는 거네요. 

자, 자바스크립트를 보여주는 화면의 끝으로 이동해봅시다. 

<form name="a"> 가 보이고..  값이 "Crazy"라고 나오는군요. 

그 아래로 b,c,d,e가 모두 보입니다. 

위에서 봤던 코드에서 b,e,c,a,d 순서로 문자를 더했으니 우리도 그 순서대로 더해봅시다. 

'IdontLikeCrazyCow'가 되는군요. 

이제 주소창에 구한 답을 가지고 링크를 아래와 같이 입력해봅시다. 

역시 정답 페이지가 나옵니다. 

스마트한 브라우저 덕분에 난독화된 자바스크립트 보는거 참 쉽죠? 

주어진 링크를 따라 들어가봅시다. 

다짜고자 이름과 비밀번호를 묻는 창이 뜨는군요. 

인증을 해야만 들어갈 수 있나 봅니다.

자! 단계별로 차근 차근 풀어봅시다.

• 1단계: 취약점 알아보기  

아파치 서버는 웹 인증을 통해 접근을 제어할 수 있습니다. 

'<Limit GET POST PUT>' 처럼 특정 메소드(method)를 지정해주는게 가능합니다. 

문제는 이렇게 하면 지정한 메소드이외의 메소드에 대해서는 인증 절차를 거치지 않고 바로 접근이 가능한 취약점이 있답니다. 

기본적으로 인증 팝업창을 통해서 인증을 시도하게 되면 'GET' 메소드를 사용하게 되는데 이 메소드만 살짝 바꿔서 인증이 우회 되는지 확인해 봅시다. 

• 2단계: 메소드 편집 툴 설치 

메소드를 변경하는 다양한 방법이 있겠지만 개인적으로 크롬(chrome)을 선호하기에 크롬에서 가능한 방법을 소개하고자 합니다. 

먼저 크롬 앱 스토어에서 'Dev HTTP Client'를 검색해서 설치해봅시다. 

설치를 완료했다면 실행해봅시다. 

플러그인이 아니므로 브라우저 우측 상단에 보이지 않습니다. 

새로운 탭에서 하단의 'Apps'를 선택해야 보입니다. 

위에 보이는 화살표 모양 아이콘을 클릭하면 실행 됩니다. 

정상적으로 실행 된다면 이런 화면이 뜰겁니다. 

• 3단계: 아파치 인증 우회하기 

URL 입력창에 Level 5 주소를 입력하고 Method를 'POST'로 변경해서 'Send'를 해 봅시다. 

하단부에 결과가 나오는게 보입니다. 

역시나 'POST' 메소드도 제한이 걸려 있나 봅니다. 

여기서 포기하지 말고 다른 메소드로도 시도해 봅시다. 

'OPTIONS' 메소드로 하면.. 

지금까지와 달리 다른 메시지가 나오는걸 볼 수 있습니다. 

내용을 보니 Key 정보까지 보이는 군요. 

이번 레벨은 참 허무(?)하게 성공했네요. 

어쨌든 축하합니다. 

주어진 링크를 따라 들어가 봅시다. 

로그인 화면이 나오는 군요. 

친절하게 guest 계정의 로그인 정보까지 적어놨군요.

자! 단계별로 차근 차근 풀어봅시다. 

• 1단계: guest 세션키 정보 분석

먼저 guest 계정으로 로그인 해봅시다. 

여기저기 링크가 있군요. 기웃기웃 거려 봅시다. 

혹시 중요한 힌트가 숨겨져 있을지도 모르니깐요. 

'Query' 입력란도 있군요. (아쉽게도 함정입니다. 단순히 경고창만 띄워주도록 되어 있습니다.)

그외에는 별 다른게 없어 보입니다. 

그럼 쿠키 값을 살펴 봐야겠죠? 

크롬(chrome) 브라우저의  'Edit This Cookie' 플러그인을 설치해봅시다. 

크롬의 우측 상단에 쿠키 모양 아이콘을 클릭하면 아래와 같은 창이 뜹니다. 

'WOWSESSIONID' 필드에 보면 왠 값이 들어있네요. 

흠.. 왠지 MD5 해쉬 값인것 처럼 보이는 군요. 

구글에서 MD5 decrypt 를 해주는 사이트를 찾아 들어가봅시다. 

※ 이론적으로 MD5 해쉬는 복호화 할 수 없지만.. DB에 다양한 값들의 해쉬값을 가지고 있으면서 복호화를 수행해주는 사이트가 다수 존재합니다. 

디코드 필드에 복사해온 값을 붙여 넣고 복호화를 시도해봅시다. 

http://md5.web-max.ca/

어라? 복사한 값의 절반 정도만 붙여넣기가 되네요.  

오호라~ 값 2개가 붙어 있나봅니다. 

어쨌든 앞 부분은 복호화를 했더니 'guest'라는 문자열이라고 나옵니다. 

접속 계정의 ID를 MD5 해쉬로 한 값이 앞 부분이라는걸 알아냈군요. 

뒷 부분을 마저 붙여넣기 하고 복호화 해봤더니 찾을 수 없다고 나옵니다. 잘 알려진 패턴은 아닌가 보네요. 

로그아웃 하고 다시 한번 'WOWSESSIONID' 값을 확인해봅시다. 

클릭하면 큰 그림을 볼 수 있어요~ 

'guest'에 해당하는 값은 그대로인데 뒷 부분 값은 변했네요. 

 왠지 접속 시간을 이용해서 'WEBSESSIONID'를 만드는것 같다는 느낌이 드는군요. 

접속 시간인 'LoginTime: 2013-06-05 09:26:27' 값을 timestamp로 변환해 봅시다. 

웹에서 하고 싶으시다면 아래 사이트에서 변환하면 됩니다. 

http://www.epochconverter.com/

local time으로 설정 한 후 timestamp를 생성하면 됩니다. 

물론, Linux(Ubuntu)에서 bash로 변환하는 방법도 있습니다. 

date 명령을 이용하면 쉽게 timestamp값을 구할 수 있죠. 

여기서 나온 값을 가지고 MD5 해쉬를 구해봅시다. 

물론, MD5 해쉬도 Ubuntu(Linux) 에서 변환하는 방법이 있습니다. 

md5sum 명령어를 활용하면 손쉽게 구할 수 있죠. 

결과가 나왔네요. 

WOWSESSIONID의 time 값과 일치하는 값입니다. 

이것으로 세션키는 접속 계정의 ID 와 접속 시간의 timestamp값의 MD5 해쉬 값이란걸 알게 됐습니다. 

※간혹 위와 동일하게 수행하더라도 결과값이 제대로 나오지 않는 경우가 있습니다. 

원인은 제가 문제 출제자가 아니다 보니 .. 잘 모르겠네요. 

• 2단계: 관리자 세션키 - 앞 부분 구하기 

현재 접속해 있는 사람 중 'admin'이란 계정이 있는데, 딱 봐도 관리자 계정일거란 생각이 드네요. 

'admin'이란 문자열을 MD5 해쉬한 값을 구해봅시다. 

http://www.md5hashgenerator.com/

• 3단계: 관리자 세션키 - 뒷 부분 구하기

 이제 'admin'의 접속 시간을 MD5 해쉬한 값을 구해서 세션키를 바꿔치기 해 봅시다. 

그런데.. 'admin'이 언제 접속했는지 어떻게 알아야 할까요?

보아하니 화면 중앙에 있는 공지글을 'admin'이 썼을 테니.. 

최소한 최초 글을 쓰기 이전에 접속을 했겠군요. 

이제 접속 시간을 알아내봐야 할 시간입니다. 

이제 저 삽질하는 이미지의 의미가 이해가 되면서 몸에 와닿기 시작하네요. 

'로그인 시간을 열심히 삽질해서 알아내 봐라!' 라는 의미겠죠? 

MD5해쉬 값을 구하기 어려우니 bash로 구해봅시다. 

시간을 넉넉히 잡아 9시 11분 부터 최초 글을 작성한 9시 12분 21초 까지 값을 MD5 해쉬를 수행해봅시다. 

저는 ubuntu에서 아래 명령어로 생성했습니다. 

내용이 너무 길어서 접어뒀습니다. 보고 싶으신 분들은 아래 클릭! 

이제 'admin'의 해쉬값인 '21232f297a57a5a743894a0e4a801fc3'와 timestamp의 해쉬 값들을 조합해서 열심히 쿠키를 바꿔치기 할 차례입니다. 

진정한 삽질이죠. 

결과적으로 '67c90cd08d7a3d88f90e63fe768f5a8c'가 답입니다. 

관리자는 9시 12분 00초에 접속했나봅니다. 

'edit this cookie'의 'WOWSESSIONID' 필드에 지금까지 구한 두 MD5 해쉬 값을 붙여서 넣어봅시다. 

쿠키값을 변조한 후 'Submit cookie changes'를 눌러주면 됩니다. 

• 4단계: 숨겨진 정답 찾기 

쿠키값 변조를 통해 'admin'으로 접속을 하게 되면 아래와 같은 화면이 나옵니다. 

'guest'로 접속했을 때와 달리 접속 시간 하단부에 'Userlist'라는 링크가 하나 생겼네요. 

궁금하니 클릭해봅시다. 

두둥! 애타게 찾던 정답이 여기 숨어 있었네요. 

guest:guest
admin:nologin
level4:VeRY Good! My Friend!

축하합니다. 다음 단계로 넘어가봅시다! 

주어진 링크를 따라 들어가 봅시다. 

게시판이 보이고 글이 몇개 보이는 군요. 

첫번째 글을 클릭해봅시다. 

별 내용은 없는데 첨부 파일이 보이네요. 

한 번 클릭해 봅시다. 

새로운 링크페이지가 열리면서 첨부된 파일이 보입니다. 

경로를 보니 뭔가 냄새가 나는것 같죠. 

다른 글에 있는 첨부 파일도 열어 봅시다. 

역시나 비슷한 패턴을 가지고 있는게 보입니다. 

자! 단계별로 차근 차근 풀어봅시다. 

• 1단계: 링크 주소의 비밀 밝혀내기 

링크 주소에 어떤 규칙이 있을 지 곰곰히 생각해 봅시다. 

아하! 글 작성 시간에 있는 값과 링크의 뒷부분 숫자가 같다는걸 알 수 있습니다. 

이제 앞에 있는 값만 알아내면 되겠군요. 

링크 주소 패턴이 MD5 패턴인것 같다는 생각이 듭니다. 

왠지 글을 작성한 시간을 가지고 MD5 해쉬를 수행하면 링크 주소와 같은 패턴이 나올것 같기도 하다는 생각이 듭니다. 

• 2단계: time stamp값 구하기 

우선 시간값을 time stamp로 변환해봅시다. 

구글에서 'timestamp'로 검색해서 time stamp를 계산해 주는 사이트에 들어가봅니다. 

http://www.epochconverter.com/

게시글의 작성 시간을 입력하고 'Local time'으로 time stamp를 생성해봅시다. 

결과값이 '1161129925'라고 나왔네요

• 3단계: MD5 해쉬값 구하기 

이 값을 MD5로 변환해봅시다. 

역시나 구글에서 'MD5 hash'로 검색해서 해쉬값을 구해주는 사이트에 들어가봅시다. 

http://www.md5hashgenerator.com/

위에서 구한 time stamp값을 넣고 MD5 해쉬를 구해보면.. 'b72776c5eb0c5a05a7188959a49e1f1b' 라고 나옵니다. 

왠지 낯익은 값이 나온것 같네요. 

빙고! 첨부파일 링크에 있는 값과 동일한 값이 구해졌네요. 

• 4단계: 비밀글 첨부파일 링크 찾기 

비밀글의 첨부파일 경로를 찾기 위해 비밀글의 작성 시간을 봅시다. 

저 시간을 time stamp로 변환해보면.. '1161499792' 가 나옵니다. 

이 값을 MD5 해쉬를 구해보면 'fb6e412cf733d6b9cdf777cbcafa35c3'가 나옵니다. 

그렇다면 첨부파일의 링크는 어떻게 될까요? 

위의 링크로 들어가 봅시다. 

Level3 key: iwantknowmoreMrjones!

축하합니다. Level 3의 답을 구했군요.