전체 글
![Root-me : [Web_Server]Install files](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FsUosU%2FbtqF64C08Bn%2FEPjr1hChBoXTlp80cMtEK1%2Fimg.png)
Root-me : [Web_Server]Install files
Statement에 없고 제목쪽에 힌트가 주어져 있다. 사실 바로 힌트인지는 몰랐고, 문제 들어가서 알았다. 코드가 이거밖에 없었기 때문이다. 그래서 phpbb가 의미하는게 있는지 찾아보기로 했다. 전자 게시판 프로그램이란다… ㅇㅋ 한참을 찾아보다가 phpbb 설치 메뉴얼에서 답을 찾았다. install 디렉토리를 지우지 않으면, 엄청나게 취약할 수 있다는 점이다. 그래서 문제이름이 install files 인가 보다. 디렉토리를 찾았다. install.php를 보자. karambar
![Root-me : [Web_Server] HTTP - Verb tampering](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2F2ONhM%2FbtqGbbHgaLY%2FwsLMVCF6wBpOqifb4WGmu1%2Fimg.png)
Root-me : [Web_Server] HTTP - Verb tampering
일단 시작하자마자 alert 창이 하나 뜬다 HTTP verb tempering 이라는 취약점이 존재하는 것 같다. 이는 의도한 것보다 많은 접근을 허용하는 취약점으로, HTTP Method 중 특정 메소드에 적용되는 보안사항이, 다른 메소드에는 적용되지 않는 것이다. HTTP verb를 알아보자. GET,HEAD,POST,PUT,DELETE,CONNECT,OPTIONS,TRACE,PATCH…. 많다. 익숙한 것도 있지만 아닌것도 있음. 이제 문제를 보자. 이 request 에서는 GET 메소드로 요청하고 있다. 해당 보안 접속도 GET 메소드 하에서 유효한 것으로 볼 수 있다. 즉 GET을 POST로 바꿔보면 그대로네,,, PUT으로 바꿔보자. password 가 나타나는 것을 확인 할 수 있다. a2..
![Root-me : [Web_Server] HTTP - Improper redirect](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2F4tdSw%2FbtqF64ipSes%2FKKhi7aerkqf59K6E2jnXTK%2Fimg.png)
Root-me : [Web_Server] HTTP - Improper redirect
index.php 를 열어야 하는데 지금 redirection 때문에 login.php로 가는것을 확인할 수 있다. 아무 일 없어보이지만, response를 잡아서 보면 코드를 보내주는 것을 확인할 수 있다. CWE-698: Execution After Redirect 해당 취약점은 302 Found 를 반환해줄 때 리다이렉트 이전의 페이지의 소스코드가 Response에서 노출된다는 취약점이다. ExecutionAfterRedirectIsBad
![Root-me : [Web_Server] HTTP - POST](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FoMc6H%2FbtqF9kK7cib%2FcJRy2gT4Jbu47juGoDbmR1%2Fimg.png)
Root-me : [Web_Server] HTTP - POST
버튼을 누르면 저렇게 숫자가 나간다. 이 숫자가 나가는 방식이 POST 방식으로 전달되는 것 같으니, Burp Suite 로 잡아서 POST 값을 변조해주면 되겠다. score를 9999999로 변조해주자. Flag : H7tp_h4s_N0_s3Cr37S_F0r_y0U
![Root-me : [Web_Server] HTTP - Headers](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2Fy6jH2%2FbtqF9kYEIdm%2FrQOCxOrFua3HmRddUBWdhk%2Fimg.png)
Root-me : [Web_Server] HTTP - Headers
구해야 하는 것을 보면 다음과 같다. 오전 11:24 힌트같은 문구가 주어져 있다. 관리자도구도 보자 Network 부분을 보면 헤더를 볼 수 있다. Response 헤더와 Request 헤더가 있는데 둘다 보자. Header-RootMe-Admin : none 으로 설정되어있다. 이 값을 all로 바꿔주고, request 에도 넣어주면 비밀번호가 나오게 된다. HeadersMayBeUseful
![Root-me : [Web_Server] HTTP - Directory indexing](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbRN1Tr%2FbtqF8u0zcDR%2F3BNFUqrumGEokmWwMV0dC1%2Fimg.png)
Root-me : [Web_Server] HTTP - Directory indexing
열어보면 아무것도 나오지 않는다. 그래서 소스코드를 봤다. 소스코드에 뭔가 써있다. 해당 파일을 include 하나보다. 근데 경로가 유출되었다. ~/admin/ 에 들어가보자. Pass.html은 해당 페이지를 의미하고, /backup 에 가보면 admin.txt가 있다. 이 파일을 보자. 비밀번호가 있다.
![Root-me : [Web_Server] Backup file](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2Fbv5Fxn%2FbtqF64hclB9%2FQLZy4Xk3zjlM76yMzCJkvk%2Fimg.png)
Root-me : [Web_Server] Backup file
시작하고 들어가보니 다음과 같은 로그인화면이 보인다. 소스코드를 보는데, form 에 action이 지정되어 있지 않다. 이상한 부분이다. 문제에 backup 파일이라고 하니, 인덱스를 볼 수 있으면 좋을 것 같다. 그래서 해당 경로의 web-serveur 를 보았는데 다음과 같이 나온다. 우리가 원하는 건 ch11이다. 딱히 없는거 같은데 해당 페이지의 백업 파일을 받고 싶은데 방법을 찾아보자. index.php~ 를 치게 된다면 받아진다 왜 그런지는 모르겠다. -> 백업파일을 만들때 관습적으로 뒤에 ~를 붙인다고 한다. 이를 찾아내는 것은 nmap 을 이용하면 찾을 수 있다고 하니 해보도록 하자. 소스코드를 받아보면 다음과 같다. 전체 소스코드가 받아지는 취약점을 php source code disc..
LOS -rubiya : Mummy
query : {$query}"; $result = sqlsrv_fetch_array(sqlsrv_query($db,$query)); if($result[0]) echo "Hello anonymous"; $query = "select pw from prob_mummy where id='admin'"; $result = sqlsrv_fetch_array(sqlsrv_query($db,$query)); if($result['pw'] === $_GET['pw']) solve("mummy"); highlight_file(__FILE__);?>쿼리를 직접 작성해줘야 한다. ord(query 의 문자) 면 exit 한다. 32 아래는 주로 공백밖에 없다. error 문구로도 whit..