전체 글345 arctic 롸업 정리 nmap 나는 rpc갖고 삽질했다. rpcclient, rpcinfo.. 등등 명령어를 실행했지만 아무것도 connect되지 않았고 별 다른게 나오지 않았다. 롸업을 보니 fmtp에 주목했다;;; 그리고 10.10.10.11:8500에 접속했다. 접속하는데 30초 정도 걸린다고 한다. 이게 접속이 언제 되는지 알고 기다릴까 /CFIDE/administrator 페이지 하나 넘어갈 때마다 30초 걸린다 말이 되냐 default password 나오지도 않는다. searchsploit coldfusion 8 버전 8 RCE로 하니까 바로 익스됐다. user.txt도 바로 확인할 수 있었다. 권한상승 windows exploit suggester 권한 관련, metasploit 아닌 것 걸러서 해보면 된다. .. 2021. 10. 5. iron_golem(참 거짓을 판별할 수 없는 blind sqli) 보통 참 거짓을 판별할 수 없는 blind sql injection에서는 시간 지연(sleep, benchmark 함수)을 이용해 해결한다. 하지만 여기서는 필터링되어있다. 그럼 error based sql injection임을 파악할 수 있다. 쿼리를 날렸을 때 에러가 발생하면 그 에러를 출력하라. 즉, 에러가 나지 않는다면 아무것도 안나오겠지? 에러가 발생한다는 것은 문법적으로 틀리는 등이어야 한다. 해당 데이터가 없는 것과는 다르다. 일단 pw 길이 파악이 우선이다. pw=' or id='admin' and if(length(pw)=1, (select 1 union select 2), 1)# 1값을 계속 바꾸면서 진행한다. length(pw)=32일 때 즉, admin의 pw 길이는 32라는 의미이.. 2021. 10. 5. dragon ?pw=(개행) and pw='' or id='admin'# url encoder에서 개행해보면 %0a인 것을 알 수 있다. [**] MySQL에서는 주석이 있더라도 개행하면 다음 줄은 주석에서 벗어나게 된다. 또한 세미콜론을 만나기 전까지 쿼리문이 이어진다. 2021. 10. 4. [**] xavis pw - prob _ . () regex like 필터링 그냥 여태 하던대로 길이 구하고 하나씩 구하면 안되나??? 평소 하던대로 ?pw=' or id='admin' and length(pw)=i# 이런식으로 길이를 비밀번호 길이를 구했다. 12가 나왔다. 또 한글자 한글자 비밀번호를 구하려고 했는데 코딩 제대로 한 것 같은데 아무값이 나오지 않고 종료됐다. 삽질 좀 하다가 롸업을 봤다. 내가 풀던 방식대로 풀다가 안됐으면 다른 문자인가? 를 고민했어야 했다. select length('abcd') -> 4 select length(hex('abcd')) ->8 이 나오는 것을 확인했다. ?pw=' or id='admin' and length(hex(pw))=24# 하니까 Hello admin이 출력됐다.. 2021. 10. 4. [**] nightmare (묵시적 형변환) pw -> prob _ . () # - 필터링 pw 길이는 6보다 크면 안된다. 묵시적 형변환이란? 조건절에 있는 데이터 타입이 다르면 '우선 순위가 높은 쪽'으로 내부적으로 형변환이 발생한다. - 문자는 0으로 취급된다. - 우선순위 : 정수형 > 문자열 - 문자가 정수로 형변환된다. [**] 정수 컬럼을 문자열로 검색 j : integer column s : varchar column select * from table where j = '1234' -> j=1234인 열이 검색된다. idx : integer column select * from table where idx='a' 'a'가 0으로 변환된다. idx 컬럼이 0으로 셋팅된 데이터들만 반환된다. [**] 문자열 컬럼을 숫자로 검색 id :.. 2021. 10. 4. granny 롸업 정리 nmap gobuster 해봤지만 시간만 엄청 걸리고 뭐 나오지도 않았다. davtest 테스트 실행 파일을 업로드한 다음 명령 실행이나 다른 작업을 대상에서 직접 수행할 수 있도록 파일을 업로드하여 webdav 지원 서버를 테스트하는 툴 davtest -url http://10.10.10.15 [**] http:// 안붙이면 이상하게 나온다. asp, aspx failed. 이 확장자로 파일을 올릴 수 없는 것 같다. 그러나 txt, html 같은 확장자는 success. PUT이 허용된 유일한 http method가 아님을 기억하라. (앞의 nmap의 결과에서 Public options에 많은 메서드가 나와있다.) MOVE는 웹 서버에서 파일 위치를 변경할 수 있을 뿐만 아니라 파일 이름을 바꾸는 데.. 2021. 10. 3. 이전 1 ··· 32 33 34 35 36 37 38 ··· 58 다음
