※ 작년 말 ~ 올해 초에 작성한 라이트업으로 사이트 개편 전의 문제가 섞여있습니다.  ※ 

2020/06/27 - [웹 해킹] - webhacking.kr challenge 46

 46번과 비슷하게 풀 수 있다.

 이 문제 역시 lv 1~4에는 id가 존재하고 0과 5에는 존재하지 않는다.

 소스를 확인해보면 select, or, and, (, ), limit, , /, order, cash, 공백, 탭, “을 입력할 경우 no hack을 출력한다. 그리고 입력한 값에 위의 값이 존재하지 않으면 쿼리문에 대입한 후 실행한다.

따라서 lv=0 or id=admin이라는 값을 대입해주면 되는데 or과 공백 등은 걸러 지기 때문에 우회를 해야 한다. 따라서 ‘?lv=0%0a||%0aid=0x41646d696e’라는 값을 대입하면 문제가 풀린다.

※ 작년 말 ~ 올해 초에 작성한 라이트업으로 사이트 개편 전의 문제가 섞여있습니다.  ※ 

 파일의 이름을 ;ls로 둔 후 삭제하면 ls 명령이 실행되면서 FLAG 값이 출력된다.

※ 작년 말 ~ 올해 초에 작성한 라이트업으로 사이트 개편 전의 문제가 섞여있습니다.  ※ 

 lv에 값을 대입해보면 1부터 4까지는 값이 출력되고 0과 5부터는 값이 출력되지 않는다.

 lv 값으로 1 or 1=1을 넣었더니 1을 넣은 것과 동일한 결과가 나오지 않았다. 이는 이 값을 대입했을 때 제대로 동작하지 않는 것을 의미한다.

 lv 값으로 1%0aor%0a1=1을 넣어보니 1을 넣었을 때와 동일한 결과가 나왔다.

 소스를 확인해보았다. addslashes 함수는 ' -> \' 등 백슬래시를 붙여주는 함수로 문자열에서 저장 쉽게 하려고 쓰인다. 또한 공백과 /, *, %는 str_replace로 없애고, preg_match로 select, 0x, limit, cash를 거르고 있다. 싱글 쿼터의 우회 방법으로는 0x, %27 등의 방법이 있지만 모두 거르고 있으므로 char를 사용했다. ?lv=0%09or%09id=char(97,100,109,105,110)을 입력하면 문제가 풀린다.

<?php
	system(“cat /flag”);
?>

 위와 같이 입력한 php 파일을 업로드하게 되면 파일을 열었을 때 “cat /flag” 명령이 실행되어 flag가 출력된다. 하지만 php, txt 등의 파일은 업로드 할 수 없고 image 파일만 업로드를 할 수 있다.

 따라서 php 파일을 업로드한 후 proxy를 이용해서 content-type을 image로 바꿔주면 파일을 업로드할 수 있다. 업로드 한 파일을 클릭하면 flag가 나타난다.

※ 작년 말 ~ 올해 초에 작성한 라이트업으로 사이트 개편 전의 문제가 섞여있습니다.  ※ 

 페이지 소스를 살펴보면 text.txt의 다운로드 링크의 주소가 ‘?down=(test.txt를 base64로 인코딩한 값)‘임을 확인할 수 있다.

 따라서 flag.docx를 base64로 인코딩한 후 ‘?down=(인코딩한 값)’이라고 입력하면 flag.docx 파일이 다운되고, 이를 입력하면 문제가 풀린다.

※ 작년 말 ~ 올해 초에 작성한 라이트업으로 사이트 개편 전의 문제가 섞여있습니다.  ※ 

 255보다 큰 길이의 file 이름을 가지게 되면 copy 함수에서 에러가 나고, 에러 메시지를 통해서 {$upload_dir}이 출력된다. 그 이후에 정상적인 파일을 업로드하고, 업로드 파일을 들어가보면 FLAG가 나온다.

※ 작년 말 ~ 올해 초에 작성한 라이트업으로 사이트 개편 전의 문제가 섞여있습니다.  ※ 

 39번 문제는 특정 값을 입력해서 제출을 하는 것이다.

 소스를 확인해보면 쿼리가 전달되는데, id의 값에 ‘가 열린 채로 전송이 된다. 또한 조건을 보면 ‘은 ‘’로 바뀌고, 15개의 문자만이 전달이 된다. 따라서 글자 수를 조절해 ‘가 닫히도록 하면 된다.

 “admin         ‘”라고 입력해서 문제를 풀었다. 꼭 admin을 입력해야 하는 건 아니고, “1234          ‘”처럼 ‘이 15번째 문자로 들어가면 문제가 해결된다.