[wargame.kr] md5_compare

[wargame 10번 문제 풀이]

 

 

md5 비교.. ?

 

뭐가 md5()함수의 취약성을 이용한 문제 같..다?

 

 

 

 

단지 비교 만하십시오.
다른 값으로 : D

 

...?

 

 

페이지를 들어가보니 정말 value 1,2 의 값을 비교해서 푸는 문제는 맞는 것 같다.

 

소스 코드를 살펴보자.

 

 

소스 코드중 핵심 코드를 해석해보자

 

 

<?php
    if (isset($_GET['view-source'])) {
         show_source(__FILE__);
         exit();
    }

    if (isset($_GET['v1']) && isset($_GET['v2'])) {
        sleep(3); // anti brute force

        $chk = true;
        $v1 = $_GET['v1'];
        $v2 = $_GET['v2'];

        if (!ctype_alpha($v1)) {$chk = false;}
        if (!is_numeric($v2) ) {$chk = false;}
        if (md5($v1) != md5($v2)) {$chk = false;}

        if ($chk){
            include("../lib.php");
            echo "Congratulations! FLAG is : ".auth_code("md5_compare");
        } else {
            echo "Wrong...";
        }
    }
?>

 

확인해보니 v1과  v2 둘다 변수가 있는지 확인해보고

둘다 모두 get방식으로 넘어온 변수가 있다면,

 

 

sleep(3) 

 

즉 3초뒤 아래 코드를 실행한다. ->  brute force 공격 방지용

chk 변수에 true;값을 넣어주고 v1과 v2에 각각 입력한 값을 받는다.

 

 

chk가 true인 경우 flag가 출력되는데,

chk값이 조건문 3번에 걸쳐 false로 출력되게끔 되어있다.

 

if (!ctype_alpha($v1)) 

이 줄은 v1에 대한 제약이다.

즉 v1에 해당하는 값이 모두 문자가 아니라면  chk 변수는 false;

 

 

if(! is_numeric($v2))

이 코드는 v2에 대한 제약으로

 v2에 해당하는 값이 문자열 혹은, 숫자가 아니라면 chk 변수는 false

 

 

마지막 제약은 v1값을 md5해시화 한 값과 v2를 md5해쉬 한 값이 같지 않으면 chk 변수는 false가 된다.

 

 

이 문제에서 알 수 있었던 것들

 

1. is_numeric () 함수는 SQL injection에 취약하다. (문자열 삽입이 가능하기 때문)

2. 해쉬 값은 절대 같을 수 없다고 하지만, 사실 해시 충돌에 의해 같은 해시 값이 생길 수 있다.

3. loose compare 즉, php에 느슨한 비교 때문에 일어나는 여러가지 문제점.

 

 

 

(이러한 '==' 느슨한 비교는 형의 비교는 하지 않기 때문에 "0"과 0 의 같을 true로 줌.)

 

 

 

이러한 특성을 토대로 접근해볼 수 있는

 

 

이 문제에 포인트(Point)는

 

바로 

 

"md5 매직 해시 취약점"이다.

 

 

MD5 매직 해시 취약점

매직 해시 :

비교 연산을 할 때 type Juggling을 이용하여 서로 다른 값이 같은 값으로 인식되도록 하는 특수한 동작     

//type Juggling : 형변환, 즉 변수를 정의하지 않아도 타입을 자동으로 설정해주는 것을 의미한다.


즉 :
0e<숫자>일 경우에는 PHP에서의 '==' 연산자 기호로는 값이 0이 되는 것이다.


*특수 숫자 포맷

- 16진수 : 0xC(10진수 값으로 12)

- 8진수 : 0o11(10진수 값으로 9)

- 지수 : 3e2(10진수 값으로 3x10^2=300)



md5 ex)

240610708= 0e462097431906509019562988736854

QNKCDZO= 0e830400451993494058024219903391



즉, 이 두개의 문자를 활용하면, 느슨한 비교연산자 사용 시 인증 우회가 가능하게 된다.
 

출처 : https://aboutsc.tistory.com/100

 

즉 , 0e로 시작하는 md5 해시 값을 찾는다면, 이 것들은 느슨한 비교 연산자에 의해

"0" == 0  결국 true  값을 반환하게 되어 인증 우회가 가능하다는 것이다.

 

이러한 값에 부합하는 몇가지 md5해시 값이 존재하는데 이를 magic hash라고 한다.

 

humit.tistory.com/170

Magic Hash

위 사이트에서 magic hash에 대해 더욱 자세히 설명되어 있다.

 

 

결국 magic hash를 이용한 우회 문제인 것이다.

 

https://duwjdtn11.tistory.com/357

 

 

이렇게 공통되는 값

즉 우회 되는 두 값을 찾았다면 이 값을 v1, v2에 넣어주면 된다.

 

유명한 magic hash 예로 

QNKCDZO == 240610708 이 있었다.

 

값을 입력 후 chk 를 누르니 3가지 조건에 모두 부합하지 않아서 chk = true가 되었다.

 

flag 값이 출력됨.

 

--> Clear...

 

 

 

자주 등장하지는 않지만 종종 보이는 문제이고,

약간은 ? 신박한 취약점이니 알아두면 좋을 것 같다 ㅎㅎ

 

 

 

 

 

 

---

참고하면 좋을 페이지

 

 

- magic hash : johyungen.tistory.com/56

php 비교 연산자 취약점(md5 매직해시)

 

- 중복 md5 ? -> hacker news : news.ycombinator.com/item?id=9484757

PHP: md5('240610708') == md5('QNKCDZO') | Hacker News

 

- php 결함 : medium.com/@mena.meseha/php-functions-security-issues-755ce4c8643c

PHP functions security issues

 

- php is_numeric() 취약점 :  beyondsecurity.tistory.com/2

php is_numric function bypass

 

- php ctype_alpha() : www.php.net/manual/en/function.ctype-alpha.php

PHP: ctype_alpha - Manual

 

php is_numeric () : php.kambing.ui.ac.id/manual/en/function.is-numeric.php 

PHP: is_numeric - Manual