반응형

overthewire.org 문제 풀이 / Leviathan Level 1 → Level 2

 

Host: leviathan.labs.overthewire.org
Port: 2223

ID : leviathan1

PW => 이전 레벨 문제 확인하시면 됩니다. 

 

leviathan1에 접속해서 ls 명령어를 입력하면 check라는 파일이 있습니다. 

이 파일은 setuid가 걸려있고, leviathan2의 권한을 가지고 있습니다. 

이 파일을 실행해 보도록 하겠습니다.

암호를 입력하는 프로그램입니다. 

암호를 알아야 하는데, ltrace라는 명령어를 이용해 실행과정을 추적해 보겠습니다.

password를 abc로 입력했는데, strcmp 함수에서 실제 password와 비교하고 있습니다. 

이제 실제 password를 알았기 때문에 이 문구를 입력해보겠습니다. 

password가 맞았습니다. 

이제 leviathan2을 권한을 가진 상태에서 shell을 사용할 수 있기 때문에,

leviathan2의 패스워드 파일을 확인할 수 있습니다.

반응형
반응형

overthewire.org 문제 풀이 / Leviathan Level 0 → Level 1

 

Username/Password를 leviathan0으로 입력하면, Level 0 -> Level 1가 진행됩니다. 

하지만 Level 0 -> Level 1 문제를 풀기위한 어떠한 정보는 없다고 합니다. 

 

ls -al 명령어를 사용하면, .backup 디렉토리가 있습니다. 

이 폴더가 의심스럽기 때문에 디렉토리에 들어가 파일을 확인해 보겠습니다. 

이 파일을 보면 아주 많은 코드가 보입니다. 

 

이 파일에 leviathan 문자가 있는지 검색해 보겠습니다. 

그랬더니 leviathan1의 패스워드가 있는 것을 볼 수 있습니다.

반응형
반응형

overthewire.org 문제 풀이 / Natas Level 10 → Level 11

 

이번 문제는 쿠키가 XOR 암호화로 보호되고 있다고 합니다. 

그리고 배경화면 색상을 입력하는 부분이 있습니다. 

 

먼저 소스코드를 보겠습니다. 

<html>
<head>
<!-- This stuff in the header has nothing to do with the level -->
<link rel="stylesheet" type="text/css" href="http://natas.labs.overthewire.org/css/level.css">
<link rel="stylesheet" href="http://natas.labs.overthewire.org/css/jquery-ui.css" />
<link rel="stylesheet" href="http://natas.labs.overthewire.org/css/wechall.css" />
<script src="http://natas.labs.overthewire.org/js/jquery-1.9.1.js"></script>
<script src="http://natas.labs.overthewire.org/js/jquery-ui.js"></script>
<script src=http://natas.labs.overthewire.org/js/wechall-data.js></script><script src="http://natas.labs.overthewire.org/js/wechall.js"></script>
<script>var wechallinfo = { "level": "natas11", "pass": "<censored>" };</script></head>
<?

$defaultdata = array( "showpassword"=>"no", "bgcolor"=>"#ffffff");

function xor_encrypt($in) {
    $key = '<censored>';
    $text = $in;
    $outText = '';

    // Iterate through each character
    for($i=0;$i<strlen($text);$i++) {
    $outText .= $text[$i] ^ $key[$i % strlen($key)];
    }

    return $outText;
}

function loadData($def) {
    global $_COOKIE;
    $mydata = $def;
    if(array_key_exists("data", $_COOKIE)) {
    $tempdata = json_decode(xor_encrypt(base64_decode($_COOKIE["data"])), true);
    if(is_array($tempdata) && array_key_exists("showpassword", $tempdata) && array_key_exists("bgcolor", $tempdata)) {
        if (preg_match('/^#(?:[a-f\d]{6})$/i', $tempdata['bgcolor'])) {
        $mydata['showpassword'] = $tempdata['showpassword'];
        $mydata['bgcolor'] = $tempdata['bgcolor'];
        }
    }
    }
    return $mydata;
}

function saveData($d) {
    setcookie("data", base64_encode(xor_encrypt(json_encode($d))));
}

$data = loadData($defaultdata);

if(array_key_exists("bgcolor",$_REQUEST)) {
    if (preg_match('/^#(?:[a-f\d]{6})$/i', $_REQUEST['bgcolor'])) {
        $data['bgcolor'] = $_REQUEST['bgcolor'];
    }
}

saveData($data);



?>

<h1>natas11</h1>
<div id="content">
<body style="background: <?=$data['bgcolor']?>;">
Cookies are protected with XOR encryption<br/><br/>

<?
if($data["showpassword"] == "yes") {
    print "The password for natas12 is <censored><br>";
}

?>

<form>
Background color: <input name=bgcolor value="<?=$data['bgcolor']?>">
<input type=submit value="Set color">
</form>

<div id="viewsource"><a href="index-source.html">View sourcecode</a></div>
</div>
</body>
</html>

data의 default값은 "showpassword"는 no이고, bgcolor 값은 #ffffff입니다. 

우리는 data 값을 howpassword"는 yes, bgcolor 값은 #ffffff로 만들어야 합니다.

loadData 함수를 보면 COOKIE의 data 값을 아래와 같은 순으로 디코딩하여 $tempdata를 만들어 냅니다. 

=> base64_decode() -> xor_encrypt() -> json_decode()

 

그렇기 때문에 data 값을 howpassword"는 yes, bgcolor 값은 #ffffff 을 아래 순으로 인코딩하여 쿠키값으로 설정하면 이 문제를 풀 수 잇습니다.

=> json_encode() -> xor_encrypt() -> base64_encode() 

그런데 xor_encrypt()를 하기 위해서는 XOR에 사용되는 key 알아야 합니다. 

 

우선 saveData 함수를 보면 setcookie 함수로 "data"값이 설정됩니다. 

json_encode() -> xor_encrypt() -> base64_encode() 순으로 인코딩이 됩니다. 

EditThisCookie로 보면 쿠키의 data 값이 표시되는 것을 볼 수 있습니다. 

 

 

 

 

 

 

 

 

OverTheWire

We're hackers, and we are good-looking. We are the 1%. Username: natas11 URL: http://natas11.natas.labs.overthewire.org

overthewire.org

 

반응형
반응형

overthewire.org 문제 풀이 / Natas Level 9 → Level 10

 

코드를 보면 NATAS9와 다른 점은 preg_match() 함수가 추가되었다는 점입니다. 

입력란에 "[;|&]" 문구가 포함되면 fillter에 걸려 passthru 함수를 실행시키지 못하게 됩니다. 

 

하여 아래와 같이 입력하여, "[;|&]"를 우회해 natas11 파일을 열어 보겠습니다.

grep -i ^ /etc/natas_webpass/natas11 dictionary.txt

<?
$key = "";

if(array_key_exists("needle", $_REQUEST)) {
    $key = $_REQUEST["needle"];
}

if($key != "") {
    if(preg_match('/[;|&]/',$key)) {
        print "Input contains an illegal character!";
    } else {
        passthru("grep -i $key dictionary.txt");
    }
}
?>

 

그러면 아래와 같이 natas11의 패스워드를 확인할 수 있습니다.

반응형

+ Recent posts