==================================================== 청소년 정보보호 페스티벌 2007 보고서 MY LAST Youth's Information Security Festival REPORT ==================================================== ---------------------------------------------------- 성명 > 박찬암 학교 > 남산고등학교 ID > hkpco MAIL > hkpco@korea.com HOME > http://hkpco.kr/ ---------------------------------------------------- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ LIST PASS TIME level1 2007-08-10 18:04:41 level2 2007-08-10 18:55:26 level3 2007-08-10 19:19:52 level4 2007-08-10 22:21:22 level5 2007-08-10 22:43:05 level6 2007-08-10 23:03:44 level7 2007-08-11 04:50:40 level8 2007-08-11 20:26:33 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ━━━━━━━━━━━ level1 ━━━━━━━━━━━ level1.exe 바이너리가 주어지며 해당 프로그램을 실행시키면 여러가지 컴퓨터 관련 문제들이 나옵니다. 문제들의 정답을 다 맞추어 답을 구하거나 아래와 같이 ollydbg를 이용하여 구할 수 있습니다. ollydbg의 all referenced text strings 기능을 통해 문자열들을 검색하게 되면 다음과 같이 눈에띄는 부분을 볼 수 있습니다. ===================================================================================================================== 00405518 . B8 F4434000 MOV EAX,level1.004043F4 ; UNICODE "http://oro1.woweb.net/isfanswer.txt" . . 00405E94 . 68 70444000 PUSH level1.00404470 ; UNICODE "The next stage password is '" ===================================================================================================================== 아래의 url에 접속하면 패스워드를 얻을 수 있습니다. ----------------------------------- http://oro1.woweb.net/isfanswer.txt ----------------------------------- 정답은, istheresomebody? ━━━━━━━━━━━ level2 ━━━━━━━━━━━ 문제 웹서버에 접속하면 특정 입력값을 index.php의 인자로 줄 수 있습니다. bruteforce로 오인 할 수도 있지만 해당 웹페이지를 80번 port를 통해 직접 요청해보면 단서가 나옵니다. 80번 port로 `GET /index.php HTTP/1.0` 라는 요청을 했을때의 결과입니다. ======================================================================================== [hkpco@ns hkpco]$ telnet 121.185.96.43 80 Trying 121.185.96.43... Connected to 121.185.96.43. Escape character is '^]'. GET /index.php HTTP/1.0 HTTP/1.1 200 OK Date: Wed, 15 Aug 2007 00:00:47 GMT Server: Apache/2.0.59 (Unix) mod_ssl/2.0.59 OpenSSL/0.9.7a PHP/5.2.1 X-Powered-By: PHP/5.2.1 Set-Cookie: hint=QnJ1dGUgRm9yY2UgQXR0YWNr; expires=Wed, 15-Aug-2007 00:01:47 GMT; path=/ Content-Length: 227 Connection: close Content-Type: text/html

Connection closed by foreign host. ======================================================================================== 결과값에서 Set-Cookie부분을 보면 hint=QnJ1dGUgRm9yY2UgQXR0YWNr 라고 되어있는데 있는데 hint로 주어진 값은 Base64를 통해 인코딩 되어있습니다. 이 인코딩을 풀게되면 "Brute Force Attack" 라는 문자열을 얻을 수 있습니다. 해당 문자열을 index.php의 전송폼으로 주게되면 pass.zip 이라는 파일을 받을 수 있고, 압축된 pass.txt파일에 암호가 걸려 있기때문에 알집의 '암호찾기'기능을 이용해야합니다. 조금 기다리면 알집에서 암호를 찾게되고, 찾은 압축파일의 암호는 "mango" 가 됩니다. 이 암호를 이용하여 텍스트파일을 열람해 보면 niceperformance!! 라는 패스워드를 볼 수 있습니다. 정답은, niceperformance!! ━━━━━━━━━━━ level3 ━━━━━━━━━━━ 문제에서 주어진 url에 접속해보니 /usr/local/apache/htdocs/level3/ 디렉토리안의 원하는 파일을 읽을 수 있었습니다. 다음과 같이 값을 주어 읽을 수 있습니다. ============================================ http://121.185.96.46/level3.php?file=[value] ============================================ ../를 이용하여 상위 디렉토리로 접근하려 하였지만 필터링이 된듯 했습니다. guessing을 통해 http://121.185.96.46/level3/ 페이지가 있다는 것을 알아내었고, apache인증에 의해 접근이 제한되었습니다. level3.php을 이용해서 아래와 같이 .htaccess파일을 열람하여 apache의 id, password를 알아내었습니다. ============================================== http://121.185.96.46/level3.php?file=.htaccess ============================================== 파일의 내용은 다음과 같았고 john the ripper를 통해 암호화된 패스워드를 풀었습니다. ==================== level3:8a0JcRzdxt/jA ==================== -------------------------------- [hkpco@ns run]$ cat > sch level3:8a0JcRzdxt/jA [hkpco@ns run]$ ./john -show sch level3:lemon 1 password cracked, 0 left -------------------------------- 획득한 패스워드(lemon)를 이용해서 http://121.185.96.46/level3/의 아파치 인증을 통과한 뒤 아래와 같은 경로를 얻었습니다. =================================================== /usr/local/apache/htdocs/level3/schdisepasswdlevel3 =================================================== level3.php가 있는 현재 디렉토리가 /usr/local/apache/htdocs/level3/ 이기 때문에 다음과 같이 요청하면 위의 패스워드 파일을 열람 할 수 있습니다. ======================================================== http://121.185.96.46/level3.php?file=schdisepasswdlevel3 ======================================================== 정답은, l1ketheoth2rs ━━━━━━━━━━━ level4 ━━━━━━━━━━━ 시작하자마자 guessing으로 http://121.185.96.48/admin/admin.php 라는 숨겨진 페이지를 찾았습니다. 하지만 "접근금지" 메시지뿐이었고, 문제 페이지에 주어진 게시판을 이용하여 여러가지 시도를 해보던 중 게시판 본문에 iframe 테그사용이 가능한 것을 알아냈습니다. 다음과 같이 게시글을 작성하면 iframe테그를 사용한 서버(121.185.96.48)에서 대상 서버로 접속한것과 같게됩니다. =========================================