1. 문제 https://dreamhack.io/wargame/challenges/1113 php7cmp4reDescription php 7.4로 작성된 페이지입니다. 알맞은 Input 값을 입력하고 플래그를 획득하세요. 플래그 형식은 DH{} 입니다.dreamhack.io 2. 해결 과정문제 페이지에 접속하면 두개의 input값을 입력하는 칸이 뜬다. 이 값에 따라 try again 등이 결과화면으로 보여진다. (1) 코드 분석  php7cmp4re Index page "7.9"){ if(strlen..

1. 문제 https://dreamhack.io/wargame/challenges/342 [wargame.kr] counting queryDescription Error based SQLi Challengedreamhack.io 2.해결 과정id는 ip주소의 형식으로 되어 있고 id는 입력창에서는 따로 수정이 불가능하며, 패스워드에 아무내용이나 입력하면 오류가 발생한다. (1) 코드 분석플래그는 로그인에 성공한 뒤, 패스워드를 한 번 더 확인하고 출력해준다. -> 결국 문제는 로그인에 성공하는 것이 아니라 정확한 패스워드를 입력해야 하는 것= 4){ pw_change($id); count_init($id); err("SECURITY : bruteforcing detected - password is..

1. 문제https://dreamhack.io/wargame/challenges/1111 bofDescription Buffer overflow is one of the basics of pwnable 🐱 The path of the flag file is /home/bof/flag.dreamhack.ioThe path of the flag file is /home/bof/flag.2. 풀이(1) 코드 확인main(): 사용자의 입력을 받아 read_cat()함수를 호출하고 입력을 출력하는 코드이다. 이때 ./cat 이 저장되는 v5변수는 16바이트이고, 입력값은 128 바이트의 크기이다. 즉,  v4의 크기가 128바이트인데, scanf로 최대 144바이트를 읽어들이므로, bof가 발생할 수 있는 것..

1. 문제 https://dreamhack.io/wargame/challenges/974 baby-bofDescription Simple pwnable 101 challenge Q. What is Return Address? Q. Explain that why BOF is dangerous.dreamhack.io Q. What is Return Address?Q. Explain that why BOF is dangerous.2. 풀이문제에 두가지 질문이 제시되어 있으므로, 이 질문에 대한 답을 해결하면서 문제를 풀어볼 것이다. 먼저 문제 실행파일을 ida를 통해 디스어셈블 해보면, 아래와 같은 코드가 보여진다.  the main function doesn't call win function (0x4012..

1. 문제 https://dreamhack.io/wargame/challenges/40 web-deserialize-pythonSession Login이 구현된 서비스입니다. Python(pickle)의 Deserialize 취약점을 이용해 플래그를 획득하세요. 플래그는 flag.txt 또는 FLAG 변수에 있습니다.dreamhack.io 문제에서 Python(pickle)의 Deserialize 취약점을 이용해서 문제를 풀라고 제시되어있다. 해당 취약점에 대해서는 처음 들어봐서 정리해보았다. ▼더보기https://mnzy.tistory.com/2012. 해결 과정 (1) 문제 페이지 접속  - create Session >  정보 입력 > create - sessionID 복사 후 check sessi..

1. Serialization & Deserialization파이썬의 pickle 모듈은 객체 구조의 직렬화(serialization)와 역직렬화(deserialization)를 위한 바이너리 프로토콜을 구현하기 위해 사용한다. 쉽게 말해, pickle 모듈은 파이썬 객체를 저장하거나 전송하기 위해 변환하고, 다시 그 객체로 복원하는 데 사용되는 도구이다.serialization : 파이썬 객체 계층 구조 -> 바이트 스트림 = picklingdeserialize : 바이트 스트림 -> 파이썬 객체 계층 구조  = unpickling즉, 직렬화를 하는 이유는 데이터를 파일/DB에 저장하거나 또는 세션에 걸쳐 프로그램을 상태를 유지하거나, 네트워크를 통해 데이터를 전공하기 위해서이다.  2. Pickle ..

1. 문제https://dreamhack.io/wargame/challenges/73 blind-commandRead the flag file XD Reference Web Hackingdreamhack.ioflag file을 읽으라고 되어있다. 2. 해결 과정(1) 문제 페이지 확인?cmd=hi를 주면 화면에 그대로 문자열이 출력된다. (2) 코드 확인cmd의 쿼리값을 받아 실행하는 전형적인 command injection 취약점이 존재하는 페이지이다. 그러나 GET 으로 요청을 받아올 때가 아니라 다른 방법으로 cmd값을 줄 때만 이를 실행하는 것이다. 또한 실행 결과를 브라우저에서 확인할 수 없다.#!/usr/bin/env python3from flask import Flask, requestimp..

1. 문제 https://dreamhack.io/wargame/challenges/984 baby-unionDescription 로그인 시 계정의 정보가 출력되는 웹 서비스입니다. SQL INJECTION 취약점을 통해 플래그를 획득하세요. 문제에서 주어진 init.sql 파일의 테이블명과 컬럼명은 실제 이름과 다릅니다. 플래dreamhack.io 2. 해결 과정(1) 문제 페이지 확인  (2) 코드 확인 - app.py 입력값에 대한 필터링이 없다. import osfrom flask import Flask, request, render_templatefrom flask_mysqldb import MySQLapp = Flask(__name__)app.config['MYSQL_HOST'] = os.env..

1. 문제 https://dreamhack.io/wargame/challenges/1213 easy-loginDescription 관리자로 로그인하여 플래그를 획득하세요! 플래그 형식은 DH{...} 입니다.dreamhack.io 2. 해결 과정 (1) 문제 페이지 접속 - 아이디 / 패스워드 / OTP 입력 - admin으로 로그인해야 하므로, 패스워드와 OTP 부분을 찾거나 우회해서 로그인에 성공해야 한다.   (2) 코드 분석- index.phpgeneratePassword 함수는 16진수 문자(0-9, a-f)로 구성된 지정된 길이의 임의 비밀번호를 생성한다.generateOTP 함수는 'P'로 시작하는 6자리의 숫자 OTP를 생성한다admin_pw와 otp는 각각 32자리 비밀번호와 OTP를 저..

strcmp 함수 자체는 PHP에서 안전하게 문자열을 비교하는 함수이다.PHP에서 strcmp 함수는 두 문자열을 비교하여 같으면 0을, 다르면 0이 아닌 값을 반환한다.(strcmp($a, $b) 를 실행 할 때, $a가 작으면 음수, $b가 작으면 양수, 그리고 $a와 $b가 같으면 0 이 반환)이 함수는 문자열의 값과 타입을 엄격하게(strict) 비교한다. 하지만 strcmp는 인자값으로 문자열이 들어오지 않을 경우(배열로 인자값을 주게 될 경우), NULL을 출력하는 취약점을 가지고 있다. 예제 GET 방식으로 요청을 받아 admin인지 아닌지 확인하는 코드가 존재할 때,test = 1을 주면 no를 출력해주고 test=admin을 입력하면 yes를 출력할 것이다.  (php 7.1 버전에서 테..