P0l4ris

#Main

   Wa! 시나리오 문제!

#파일 다운로드 후 확인 및 메타데이터 분석

 - 헤더 시그니처가 이상하다.

 - 구글링해보니 M4A라는 확장자가 애플의 오디오 파일이라고 한다.

#.m4a로 확장자 변경 후 재생

 - 기괴한 소리가 나온다. 역재생인 것 같다.

#역재생 후 테러지점 확인

역재생 변환 사이트 : https://audiotrimmer.com/kr/online-audio-reverser/ 

테러지점 : 서울XXXX

#Main

#압축파일 다운로드/해제 후 분석

 - 파일이 깨져있다.

 - 정상적인 PNG 헤더시그니처 : 89 50 4E 47 0D 0A 1A 0A

  -> 시그니처에 문제가 있으므로 고친다.

 - 파일이 그래도 잘려있다.

결론적으로, PNG 파일의 구조에 문제가 있는 것 같다.

PNG에는 세 가지 청크가 있는데, 청크는 이미지 데이터와 형식 등에 대한 정보라고 보면 된다.

출처 : https://ko.wikipedia.org/wiki/PNG

세 가지 청크

IHDR : 49 48 44 52

 -> PNG 청크의 헤더

IDAT : 49 44 41 54

 -> 이미지 자체에 대한 데이터

IEND : 49 45 4E 44

 -> PNG 청크의 푸터

#청크 검사

 - 이미지를 담당하는 IDAT 청크 중, 소문자로 적혀있는 것이 보인다.

#수정 후 파일 실행

#Main

#파일 다운로드

 - 해당 이미지를 두번 클릭하면 좌측 하단에 색깔이 다른 박스가 보이게 된다.

#end

 - 전체복사를 하면 플래그가 복사되게 된다.

#Main

#압축 파일 다운로드/해제 후 내용 확인

 - 브루트포스 쓰지말라고하니 메타데이터로 뜯어보자.

#메타데이터분석(flag.txt)

 - 바로나온다.

#Main

#압축파일 다운로드 및 해제

 - 마트료시카가 있는걸 보니 안속에 또 무엇인가 있는 듯 하다

#메타데이터 분석

 - 페이크 플래그가 보인다 

#마트료시카이니 ZIP파일 시그니처를 토대로 분석 (HEX : 50 4B 03 04)

 - 해당 시그니처는 헤더시그니처이므로 밑에부분을 모두 복사해서 새로 만든다.

#저장 후 압축해제

#Main

#파일 다운로드하고 압축해제

#HxD로 메타데이터 분석

#Main

#이미지 다운로드

#Main

 - 해당 링크를 클릭하면 이 페이지로 이동한다.

 - 로컬로 접속해야 할 것 같다.

 - user에 아무거나 입력하면 op.gg로 이동하게 되는데, 사이트를 아무리 뒤져봐도 다른 단서는 없다.

#현재, 링크 클릭시 이동하므로 소스 분석

 - hidden으로 처리되어 있다.

 - SSRF는 @로 우회를 할 수 있다.

#버튼으로 위치 주소 변경

   조작하여 다른 사이트에 접근하면 해당 메세지를 출력하므로,

   url변조 없이 우회하는 SSRF를 유추할 수 있다.

SSRF란 Server-side Request Forgery의 약자로서, CSRF는 클라이언트 측에서 위조된 요청을 보내는 것이라면,

SSRF는 서버 측에서 위조된 요청을 보내는 취약점인데, 이를 통해 서버 내부 등으로 접근이 가능하다.

#프록시 

  - localhost나 127.0.0.1에는 필터링이 걸려있는 것 같다.

#end

#Main

#쿠키분석

 - Cookie의 값이 무언가 암호화된 냄새가 난다.

#base64로 디코딩

 - id는 2고 type은 guest인 계정같은 것이 나왔다.

 - 단순하게 생각했을 때, 1이 admin일 가능성이 있다.

# id:1 type:admin으로 수정 후 인코딩해서 쿠키에 삽입

 - 뭔가 패스워드도 필요해 보인다.

 - PassAdmin의 값은 'j0n9hyun'인데, 암호화되어 있지도 않고 단서도 없다.

#느슨한 비교

 - 혹시나 해서 다른문제처럼 느슨한 비교가 사용되지 않을 까 해서 값을 배열형태로 만들어 주니

   해결되었다.

참고문제 : https://lionto.tistory.com/34?category=989289

g#Main

 - 메인페이지에는 특이한 것이 없다. 가위바위보 재밋음

#설정 페이지

 - 이름변경과 파일업로드가 있다. 

 - 이름변경에서 XSS를 시도했지만 불가능하다고 판단하고 RFI를 생각해서 쉘을 업로드 해야겠다.

#파일 업로드

 - php 파일 업로드 시, 이미지파일이 아니라고 출력하는데, 확장자를 PNG로 바꿔도 동일한 메시지가 출력.

   -> 파일 시그니처를 검사하는 것 같다.

파일시그니처 : 파일마다 갖고 있는 고유한 형식, 포맷이다.

#JPG 시그니처 삽입 후 간단한 웹 쉘 업로드(PNG시그니처로하니 문제가있는지 쉘이 안따졌다)

 - 강조된 부분처럼 JPEG의 시그니처를 삽입해주고 뒤에는 쉘코드를 넣으면 된다.

#쉘 업로드

 - 잘 업로드 되었다. 이제 이 쉘을 실행시켜야 하는데 이 페이지에서는 방법이 없으므로,

   프로필 사진이 업로드되는 경로를 찾아야 한다.

 - 이미지를 갖고오는 경로도 찾았다.

#404

 - 쉘을 업로드한 채로 해당 경로에서 실행을 유도했으나, 404에러가 발생하였다.

 - 이름을 바꿀 때 마다 이미지도 같이 바뀌었는데, 이와 관련이 있는 것 같다.

#이름을 shell.php로 바꾸고 다시 연결

 - system command가 작동한 것 같다.

#end