이번 문제는 웹해킹 문제로 Nickname과 Password를 입력하면 다음 단계로 넘어가고 시스템 함수를 사용하여 플래그를 획득하는 문제이다.
먼저 문제 사이트에 접속해보았다. 먼저 스텝1을 해결해야 한다. 닉네임과 패스워드를 알아내기 위해 문제파일에 있는 php파일을 살펴보았다.
파일 중 index파일은 그냥 사이트를 구성하는 내용인 것 같았고 step2 파일을 살펴보겠다.
코드에서 이 부분을 보면 name과 pw가 있는데 이것이 2단계로 넘어가는 키일 수 있겠다 생각해 값을 넣어보았다.
이런 화면이 나왔는데 pw에 알파벳이 있으면 안된다는 뜻인가? 해서 그 주변 코드를 자세히 보았다.
이 부분을 보면 주석에 필터링이라고 적혀있는데 이것을 보면 pw를 필터링 해제하여 값을 넣어야 한다는 사실을 알 수 있다. 이 코드를 ai의 힘을 빌려.. 해석해보니
이렇다고 한다! 이 패턴에 따르면 d4y0r50ng은 123@12319! 으로 치환이 된다는 사실을 알 수 있다.
d4y0r50ng+1+13 =123@12319!+1+13
그리고 네임도 필터링을 우회하기 위해 dnyang0310이 아닌 dnynyangang0310으로 입력한다.
이 값으 스텝1에 넣고 결과를 보겠다.
2단계로 진입했다.
2단계와 관련된 코드 부분인데 경로 입력으로 플래그를 획득하는 방식인 것 같다.
위와 같은 경로를 입력해주면 플래그가 나온다
'SWUFORCE > 워게임 문제풀이' 카테고리의 다른 글
| Webhacking 라이트업 old-01 (0) | 2024.07.16 |
|---|---|
| 드림핵 라이트업 welcome (0) | 2024.07.09 |
| 드림핵 라이트업 web-misconf-1 (0) | 2024.05.29 |
| 드림핵 라이트업 session (0) | 2024.05.21 |
| 드림핵 라이트업 pathraversal (0) | 2024.05.21 |