보안

0x01 문제 설명이전 Calculator 문제와 이어지는 버전의 문제다. 설명에 따르면 취약점을 방어하는 코드를 추가 하였다는 것을 알 수 있다.0x02 풀이 과정_ , . , mro 등 과 같은 문자들이 추가로 필터링 되고있다. 이전 문제와 같이 fileloader를 이용하여 /flag 를 읽어올 예정이다. SSTI 공격을 수행하는 과정은 Calculator 에서 다뤘기에, 이번에 사용한 필터링 우회에 관해서만 이야기해 볼 것이다.. 필터링 우회A.B -> A|attr('B')특정 문자 필터링 우회__class__data=request.form.get('a')&a=__class__위와같은 방식으로 ''.class.mro[1].subclasses()[99].get_data('/flag') 를 우회한 결..

0x01 문제 설명0x02 풀이 과정첨부된 소스코드를 보면, index.php 에서 $_SERVER[’QUERY_STRING’] 을 통해 쿼리 정보를 받아오고, config.php 에서 문자 필터링을 진행한다. 마지막에는 include($_SESSION['include_path']) 로 nav.php 를 불러온다. 취약점은 index.php 에서 발생한다.foreach($arr as $key=>$value){ $$key = fuck_path_change_or_check($value);}$$ 는 php의 가변변수 선언 시 사용하는 구문이다. 여기서 $_SESSION[’include_path’] 을 덮는다면 원하는 로컬 파일을 불러올 수 있다.GET 파라미터를 통해 공격을 수행하였다. GET 파라미터는..

0x01 문제 설명0x02 풀이 과정A) 초기 분석python flask 애플리케이션이다. 첨부된 코드 중 docker-compose.yml 파일 속엔 haproxy 2.2.16 버전을 사용한다고 명시되어있다. 또한 haproxy.cfg 파일에는 front-end 서버 선에서 특정 경로에 대한 접근을 차단 하며 http 통신을 재사용(reuse) 한다.frontend web bind *:8000 http-request deny if { path_beg /flag } http-request deny if { path_beg // } default_backend websrvsbackend websrvs http-reuse always server srv1 flask:5..

0x01 문제 설명0x02 풀이 과정간단한 계산기 프로그램이다. 여러 값을 넣고 테스트 한 결과는 아래와 같다.1+2 → 33*4 → 12‘7’*7 → 7777777config → SSTI (Server Side Template Injection) 취약점이 있는것으로 확인되며, {{ }} ${ } 와 같은 구문 없이 바로 적용됨을 알 수 있다. 아래와 코드 같이 중첩괄호를 사용한 환경을 예상해본다.from flask import Flask, request, render_template_stringapp = Flask(__name__)@app.route('/', methods=['GET'])def index(): expression = request.args.get('expression', '') ..