[Web] LOL

문제를 풀어보면 다음과 같은 화면이 나옵니다.

 

음.. local이 아니라네요 local로 만들어야 하는 것 같습니다. 

주소에 flag.php가 보이네요 해당 페이지와 flag가 관련이 있는것 같습니다.

 

just play have fun enjoy the game 을 클릭해 보니 다음과 같은 화면이 나옵니다.

 

user에 값을 넣으면 롤전적 사이트인 op.gg로 이동하게 됩니다.

 

소스코드를 확인해 보면 다음과 같은 사실을 알 수 있습니다.

 

POST 방식으로 데이터가 전송이 되고 hidden 속성을 가진 url 정보도 있습니다.

하지만 입력값은 query에 담겨 지기 때문에 value 에 있는 히든 url 에는 값이 들어가지 않습니다.

 

post를 보자마자 느낀점은 서버와 관련된 공격을 것 같았고, SSRF 라는 서버측 요청 위조 라는 취약점이 있습니다.

 

하울 님의 SSRF 관련 블로그 글을 보면 다음과 같이 @를 이용해서 취약점을 발생 시킨다고 합니다.

 

URL Parser에 따라서 다달라서 생기는 취약점으로 위의 예시는 curl 을 이용해서 ssrf 공격을 하는 예시입니다.

 

curl http://google.com 80@192.168.56.88/asd를 전송해 보면 google이 아닌 192.168.56.88로 넘어오게 됩니다.

그이유는 curl은 @를 기준으로 우측주소를 도메인으로 사용하기 때문에 그렇습니다.

 

해당 취약점을 가지고 프록시 툴중 하나인 Burp Suite를 이용해서 값을 넘겨 보겠습니다.

 

user에 아무것도 입력하지않으면 다음과 같이 query에 아무값도 들어가지 않습니다.

 

다음과 같이 값을 변경해 보면...

 

op.gg로 들어가지 않고 local인 ctf.j0n9hyun.xyz:2035 로 들어 가게 됩니다. flag.php가 붙여진 채로 말이죠

 

참고로 잘못 값을 전송하게 되면 다음과 같은 오류 화면이 나오게 됩니다.

 

위의 url을 누르면 안됩니다! 

아는 지인은 여기까지 왔다가 매우 중요한 소스코드를 안보고 나가게 되면서 오랜시간 못풀고... 저에게 조언을 구했습니다.

 

 

Flag :  HackCTF{1o1_is_fun!_isn't_it?}