Elementary Level 4 Write Up

드디어 쇼핑몰에서 벗어난거같다.

다른 문제스타일이 보인다.

목표를 보니 디렉터리 리스트 취약점을 이용한거 같다.

 

일단 정보 얻을 것이 없나 버프를 좀 찔러 보아 서버 정보를 확인해보기로 했다.

 

일단 딱히 뭔 없는거같고 그냥 눈치것

디렉터리 전으로 가는 ../을 무한히 넣고 마지막에 /temp/hacktory.txt를 넣어보자

즉 URL에 마지막에 이렇게 넣어보면 

../../../../../../../../../../../../../../../../../../../../../temp/hacktory.txt

 

notfound가 뜬다... 뭐지... 그러면 

주요통신기반시설에 디렉터리 취약점 검색법인

%3f.jsp를 넣어보자.

이래도 404가 뜬다.

그런데 문제를 보니 파일 다운로드의 취약점이라고 적혀있다.

하.. 바보같았다. 그럼 다운로드 받는게 뭐있는지 보자 게시판에서 몇몇가지를 보도록하자

 

게시판에 글하나 클릭하니 첨부파일이 있다. 이거 다운로드를 누른후 버프로 살펴보자

일단 버프에보니 요청 주소가 아래와 같고

wargame/war4/HackDownAct.php?Filename=

파일 이름에 들어가는거 같다.

/temp/hacktory.txt도 넣어보고

../../../temp/hacktory.txt도 해봤지만 안된다.

 

그럼 이제 소스코드로 보자.

소스코드 디버깅된 것을 보니 아래와 같이 링크가 있다.

링크를 변경해 어디까지 가나 보자.

 

이래도 안된다는건 필터링이다.

필터링 확인을 위해 이제 ../을 넣어보자.

아래와같이 변경후 다운로드 눌러보면 다운로드가 된다.

후... 그러면 이번엔 .../ 세개로 눌러보자

다운로드가 안된다. 

일단 ../가 필터링 구문인거 같다. 

 

그럼 필터링 된다 생각하고 여러가지를 이제 무차별적 입력해야한다.

일단 어느상황이든 ../를 빈칸으로 날려먹는다는 기준으로

....//을 작성했다. 즉 가운데 ../가 날라가면 ../만 남으니 될거라생각했지만

안된다. 즉 ../을 이상하게 바꾸나보다

그러면 .../을 이용해보자 만약 .하나만 날려 ./으로 바꾼다면 먹힐것이다.

그러면 .../...//을 통해 

두번날라가고 남은것을 ../을 만들도록 해본다.

그래도 안된다 후...

이번엔 .../.../..//을 통해 한번씩 다 지워보자

그래도 안된다.

../..././처럼 앞에서지우고 뒤를 놔두면

결과는 계속 똑같다.

혹시 URL 코딩해야해나 싶어서 넣어도

우회구문까지 돌려봐도 

스트레스 받아 writeup을 찾아보았다.

https://qkqhxla1.tistory.com/399

https://merona99.tistory.com/95

아니 나도 예상한 ../ 필터링에 대해 똑같이 했는데... 왜 난 안되냐

 

일단 키핑해야겠다.

 

 

verse2

 

하나의 제보를 받았다. '../' 말고도 필터링이 있다는 것이다.

생각해보니 /하나도 필터링할수있지 않는가

그래서 /를 ../ 확인처럼 중간에 넣어보기로했다.

이렇게도 받아진다.

 

 

이렇게시 현재 디렉터리로 받아진다.

 

 

 

 

필터링 규칙을 모르겟다.

/자체가 그냥 너무 잘먹힌다.

흔적들

 

이정도면 이게 맞는 폴더트리인가 싶어서

결국 unix란 소식에 /etc/passwd 찾으려고 해봤다.

 

 

미친 받아진다.

 

그런데 왜 temp/hacktory.txt가 안되냐

이정도면 경로가 이상한거 아닌가 싶은 의심까지 들기시작했다.

왜냐면

 

즉 홈디렉터리까지는 정확히 갓는데

이후 temp/hacktory.txt가 안가진건데

이러면 temp가 또 필터링인가

아닌건가 앞부분이 아니라 그런건가 다시해보자

 

일단 temp는 아닌가보다 그럼 .txt를 해보자

대체 뭐가 필터링이냔 말이다!

 

결국 하나씩 해보기로했다. 홈까지 가고 하나씩 줄이기로 했다.

 

일단

안된다.

 

그런데 여기서 되다니

즉 지금 다운로드 파일 위치는 /*/*/*/*/*/Healing.jpg인데

여기서 두칸 줄여서 /*/*/*/temp/hacktory인것이다 

반갑다 짜아식

해결 후...

 

#여담

어제부터 10번은 총 날려먹은거같다.