Access_Denied라는 팝업창이 뜨면서 접속이 되질 않습니다 아마 JS에서 접속 차단 코드가 동작하는 것을 추측됩니다 페이지 소스를 확인해봐야 할 것 같은데.... Python Request로 받기는 귀찮으니 JS를 끈 상태로 접속해 보겠습니다 JS를 끈 상태로 접속하니 흰 화면이 떴습니다 페이지 소스 보기로 코드를 가져오겠습니다 alert()로 문자열을 띄운 다음에 바로 리다이렉션을 시키고 있습니다 그리고 그 아래에 document.write() 구문이 있습니다 ?getFlag에 접속하면 FLAG를 획득할 수 있는 것 같습니다

$_COOKIE['user_lv']>=4 $_COOKIE['user_lv']>3 위 조건들을 보니 쿠키의 값이 3보다는 크면서 4 이상이 되면 안 됩니다. 이러면 3.x와 같은 식으로 소수를 쿠키의 값을 줘야 합니다. 쿠키의 값이 1로 설정되어 있는 것을 확인할 수 있습니다. 이를 3.5로 바꿔보겠습니다. 페이지를 이동하니 문제가 해결되었습니다. (원래는 old-01 Pwned!라는 문구가 나와야 하는데, 이미 풀고 나서 블로그를 쓰고 있기에 already solved라고 뜨는 겁니다)

뭔가 여러 가지 파일들이 있습니다. 문제 정보를 보면 개발자 도구의 Sources 탭 기능을 활용하라 했으니, 이 파일들을 Sources에서 열겠습니다. 그리고 하나하나 파일을 열어가며 Ctrl+F를 누르고 FLAG 형식인 DH{ 를 검색해보겠습니다. main.4c6e144e.map라는 파일에서 FLAG를 찾았습니다. 예전에 풀었던 cookie 문제보다 더 간단한 것 같습니다.

view.php를 보면 flag를 필터링해주고 있는 걸 볼 수 있습니다. 이 필터링을 우회해야하는데, 이 부분은 php wrapper 취약점을 써서 해결해보겠습니다. http://host1.dreamhack.games:10099/?page=php://filter/convert.base64-encode/resource=/var/www/uploads/flag 쿼리에 이렇게 입력을 넣고 엔터를 누르면 아래와 같이 화면이 바뀌게 됩니다. 이제 여기에 나온 값을 Base64로 디코딩하면 FLAG가 나올 것입니다.

대충 보니 이 문제 역시 Blind SQL injection인 것 같습니다. 이번 문제는 preg_match()를 이용한 필터링이 좀 많습니다. pw는 ' 문자가 필터링되고, no는 ', substr, ascii, =가 필터링됩니다. 각각 우회 방법은 아래에 정리해놓겠습니다. ' -> " = -> like() substr -> left(), right(), mid() ascii -> ord() 우선 pw의 길이를 알아보겠습니다. no=0 or length(pw) like [숫자] 위의 구문을 쿼리에 삽입해서 Hello admin이 뜨는 경우를 확인해보겠습니다. 이제 pw를 알아내기 위해 파이썬으로 코드를 짜서 돌려보겠습니다.

이번 문제는 소스코드가 주어지지 않습니다. 여러 파일들이 보이고, 회색 박스 안에는 hello world라고 출력되어 있습니다. 처음에는 회색 박스가 입력창인줄 알고 엔터를 눌렀지만, 출력창이였습니다. URL을 보니 file이라는 변수에 hello가 들어있습니다. 아마도 목록에서 4번째 파일인 hello.php의 실행 결과가 회색 박스에 나타나는 것 같습니다. 그러면 flag.php도 확인해보겠습니다. 코드 안에 FLAG가 있다는데, 코드를 어떻게 봐야 할지 모르겠으니 서칭을 해보겠습니다. https://watchout31337.tistory.com/m/148?category=901404 php include, wrapper 취약점 출처 : https://dreamhack.io/learn/15#39 ht..