1. 문제 https://dreamhack.io/wargame/challenges/40 web-deserialize-pythonSession Login이 구현된 서비스입니다. Python(pickle)의 Deserialize 취약점을 이용해 플래그를 획득하세요. 플래그는 flag.txt 또는 FLAG 변수에 있습니다.dreamhack.io 문제에서 Python(pickle)의 Deserialize 취약점을 이용해서 문제를 풀라고 제시되어있다. 해당 취약점에 대해서는 처음 들어봐서 정리해보았다. ▼더보기https://mnzy.tistory.com/2012. 해결 과정 (1) 문제 페이지 접속  - create Session >  정보 입력 > create - sessionID 복사 후 check sessi..

1. Serialization & Deserialization파이썬의 pickle 모듈은 객체 구조의 직렬화(serialization)와 역직렬화(deserialization)를 위한 바이너리 프로토콜을 구현하기 위해 사용한다. 쉽게 말해, pickle 모듈은 파이썬 객체를 저장하거나 전송하기 위해 변환하고, 다시 그 객체로 복원하는 데 사용되는 도구이다.serialization : 파이썬 객체 계층 구조 -> 바이트 스트림 = picklingdeserialize : 바이트 스트림 -> 파이썬 객체 계층 구조  = unpickling즉, 직렬화를 하는 이유는 데이터를 파일/DB에 저장하거나 또는 세션에 걸쳐 프로그램을 상태를 유지하거나, 네트워크를 통해 데이터를 전공하기 위해서이다.  2. Pickle ..

1. 문제https://dreamhack.io/wargame/challenges/73 blind-commandRead the flag file XD Reference Web Hackingdreamhack.ioflag file을 읽으라고 되어있다. 2. 해결 과정(1) 문제 페이지 확인?cmd=hi를 주면 화면에 그대로 문자열이 출력된다. (2) 코드 확인cmd의 쿼리값을 받아 실행하는 전형적인 command injection 취약점이 존재하는 페이지이다. 그러나 GET 으로 요청을 받아올 때가 아니라 다른 방법으로 cmd값을 줄 때만 이를 실행하는 것이다. 또한 실행 결과를 브라우저에서 확인할 수 없다.#!/usr/bin/env python3from flask import Flask, requestimp..

1. 문제 https://dreamhack.io/wargame/challenges/984 baby-unionDescription 로그인 시 계정의 정보가 출력되는 웹 서비스입니다. SQL INJECTION 취약점을 통해 플래그를 획득하세요. 문제에서 주어진 init.sql 파일의 테이블명과 컬럼명은 실제 이름과 다릅니다. 플래dreamhack.io 2. 해결 과정(1) 문제 페이지 확인  (2) 코드 확인 - app.py 입력값에 대한 필터링이 없다. import osfrom flask import Flask, request, render_templatefrom flask_mysqldb import MySQLapp = Flask(__name__)app.config['MYSQL_HOST'] = os.env..

1. 문제 https://dreamhack.io/wargame/challenges/1213 easy-loginDescription 관리자로 로그인하여 플래그를 획득하세요! 플래그 형식은 DH{...} 입니다.dreamhack.io 2. 해결 과정 (1) 문제 페이지 접속 - 아이디 / 패스워드 / OTP 입력 - admin으로 로그인해야 하므로, 패스워드와 OTP 부분을 찾거나 우회해서 로그인에 성공해야 한다.   (2) 코드 분석- index.phpgeneratePassword 함수는 16진수 문자(0-9, a-f)로 구성된 지정된 길이의 임의 비밀번호를 생성한다.generateOTP 함수는 'P'로 시작하는 6자리의 숫자 OTP를 생성한다admin_pw와 otp는 각각 32자리 비밀번호와 OTP를 저..

strcmp 함수 자체는 PHP에서 안전하게 문자열을 비교하는 함수이다.PHP에서 strcmp 함수는 두 문자열을 비교하여 같으면 0을, 다르면 0이 아닌 값을 반환한다.(strcmp($a, $b) 를 실행 할 때, $a가 작으면 음수, $b가 작으면 양수, 그리고 $a와 $b가 같으면 0 이 반환)이 함수는 문자열의 값과 타입을 엄격하게(strict) 비교한다. 하지만 strcmp는 인자값으로 문자열이 들어오지 않을 경우(배열로 인자값을 주게 될 경우), NULL을 출력하는 취약점을 가지고 있다. 예제 GET 방식으로 요청을 받아 admin인지 아닌지 확인하는 코드가 존재할 때,test = 1을 주면 no를 출력해주고 test=admin을 입력하면 yes를 출력할 것이다.  (php 7.1 버전에서 테..

PHP는 비교 연산을 수행하기 위해 == 연산자와  === 연산자를 지원한다.이때, PHP는 두 값을 비교하기 전에 필요에 따라 타입을 변환한다.이러한 변환은 의도하지 않은 방식으로 작동하여 보안 취약점을 발생시킬 수 있다. loose (느슨한) 비교 ==     vs    strict (엄격한) 비교 === ==: 두 값의 타입이 다르면 타입을 변환한 후 비교 (즉, 값만 비교)===: 두 값의 타입과 값 모두 같아야 TRUE 리턴 기본 예제 var_dump(0 == '0'); // truevar_dump(0 == '0.0'); // truevar_dump(0 == ''); // truevar_dump(0 == null); // truevar_dump(0 == 'string'); // true (PHP..

1. 문제 https://dreamhack.io/wargame/challenges/106 chocoshopDescription 드림이는 빼빼로데이를 맞아 티오리제과에서 빼빼로 구매를 위한 쿠폰을 받았습니다. 하지만 우리의 목적은 FLAG! 그런데 이런, FLAG는 너무 비싸 살 수가 없네요... 쿠폰을 여러 번 발급dreamhack.io 드림이는 빼빼로데이를 맞아 티오리제과에서 빼빼로 구매를 위한 쿠폰을 받았습니다.하지만 우리의 목적은 FLAG! 그런데 이런, FLAG는 너무 비싸 살 수가 없네요...쿠폰을 여러 번 발급받고 싶었는데 이것도 불가능해요. 내부자 말에 의하면 사용된 쿠폰을 검사하는 로직이 취약하다는데,드림이를 도와 FLAG를 구매하세요!2. 해결 과정secret.pyfrom os impor..

1. 문제 https://dreamhack.io/wargame/challenges/552 Dream Gallery드림이는 갤러리 사이트를 구축했습니다. 그런데 외부로 요청하는 기능이 안전한 건지 모르겠다고 하네요... 갤러리 사이트에서 취약점을 찾고 flag를 획득하세요! flag는 /flag.txt에 있습니다.dreamhack.io 2. 해결 과정/ -> /view로 리다이렉트 된다. /view에서는 mini_database 리스트에 포함되어 있는 이미지를 보여준다. @app.route('/')def index(): return redirect(url_for('view'))@app.route('/view')def view(): return render_template('view.html', ..

1. 문제 https://dreamhack.io/wargame/challenges/440 Relative Path Overwrite AdvancedDescription Exercise: Relative Path Overwrite의 패치된 문제입니다. 문제 수정 내역 2023.08.10 bot.py 수정, Dockerfile 제공dreamhack.io 2. 해결 과정 기본적인 코드는 Relative Path Overwrite와 거의 동일하다.  index.php의 코드이다. GET방식으로 page를 받고, 이 page에 ..이나 : 또는 / 이 포함되는지 확인한다. 포함되어 있지 않는다면 해당 파일을 include 한다.  Relative-Path-O..