yon11b

simple-ssti 문제 전체 코드 더보기 #!/usr/bin/python3 from flask import Flask, request, render_template, render_template_string, make_response, redirect, url_for import socket app = Flask(__name__) try: FLAG = open('./flag.txt', 'r').read() except: FLAG = '[**FLAG**]' app.secret_key = FLAG @app.route('/') def index(): return render_template('index.html') @app.errorhandler(404) def Error404(e): template = ..

Mango 문제 아래는 전체 코드 더보기 const express = require('express'); const app = express(); const mongoose = require('mongoose'); mongoose.connect('mongodb://localhost/main', { useNewUrlParser: true, useUnifiedTopology: true }); const db = mongoose.connection; // flag is in db, {'uid': 'admin', 'upw': 'DH{32alphanumeric}'} const BAN = ['admin', 'dh', 'admi']; filter = function(data){ const dump = JSON.str..

코드 분석 전 script 문자열 자체를 *로 바꾼다. on도 *로 바꾼다 코드 분석 @app.route("/vuln") def vuln(): param = request.args.get("param", "").lower() xss_filter = ["frame", "script", "on"] for _ in xss_filter: param = param.replace(_, "*") return param [필터링 되는 것들] (못 쓰는 거) script ScriPT img src=z onerror 이런 건 안 되지만 잘 우회하면 js도 실행이 될 것 같다. 이걸 제외하고 쓸 수 있는 우회 기법은 아래와 같다. csrf-1에서 썼던 방법이다. 이제 어디에서 무엇을 알아내야 할지를 보자. users 정보이..

?file=hello가 디폴트 페이지다. hello world가 출력되었다. hello.php가 실행된 것 같다. (여기서 출력되었다고 하지 않고 실행되었다고 한 것을 주의 깊게 보라) ?file=flag를 입력했더니 FLAG is in the code가 출력된다. 역시나 flag.php가 실행된 것이다. 그런데 출력된 내용을 보면 플래그가 코드 안에 있다고 하고 있다. flag.php 파일을 실행시키는 것이 아니라 flag.php 파일의 코드를 봐야하고, 그 코드 안에 flag가 있다는 것을 말해주고 있는 것이다. 헷갈린다면 아래 더보기를 클릭해보자. 더보기 [test.php] hello world flag.php 의 코드 내용이 출력되게 하려면 어떻게 해야 할까? LFI vulnerability를 이..

flag의 문자열을 1x7b8Wwp3~~에서 받아와서 여기서 다 ?로 replace하고 있다. 1x7b8Wwp3~~에서 받아올 때는 ?로 암호화되지 않은 상태일 것이다. 저 주소에서 넘어오는 값을 확인해보자. 개발자 도구를 켜고 네트워크에 저 주소를 입력해봤다. 패킷이 3개 나오는데 그 중 두번째 패킷의 응답에서 flag를 찾을 수 있었다.

버프 스위트 까지 켜고 풀었는데 개발자 도구 화면에 flag가 있었다..