Webhacking.kr :: old-25번

들어가면 다음과 같다.

 

 

url 을 보니 hello.php 파일을 밑에 출력해주는 것 같다.

우리가 원하는건 flag 파일이므로.. flag 를 입력해준다.

(그리고 hello.php 라고 입력하면 출력이 없는데 hello 로 입력하면 되는걸 보니, 코드 상에서 url 에서 받아온 file 값에 .php 를 붙여주는 것이다.)

 

 

역시...바로 뜨진 않는다.

근데 php 문제니까 php Wrapper 를 이용하면 될 것 같다.

 

* PHP Specific Vulnerability

PHP 는 include(), fopen(), copy() 와 같은 파일 시스템 함수에서 URL style 프로토콜을 위한 wrapper 들이 존재하는데, 이를 악용하는 것이 이 php 라는 언어적 특성에 의해 생기는 취약점이다.

file://  - Accessing local filesystem

php://  - 다양한 filter 이용 가능.

 

아마 이 코드는 include 가 쓰였을 것이고, flag.php 에 flag 가 있으나 안보이는 것 같다.

그래서 파일 내용을 base64 로 인코딩해주는 php wrapper 를 이용한 filter 를 써보겠다.

php://filter/convert.base64-encode/resource=FILE_NAME

이런 식으로 사용할 수 있고, FILE_NAME 의 파일 내용을 base 64 로 인코딩해주는 것이다.

 

 

예상대로 값이 잘 나왔고, 이 값을 decode 해주면

 

 

flag 값이 나오고, 이걸 Auth 에 입력해주면 된다~