'filter' 태그의 글 목록

filter

Webhacking.kr [old-24] 문제 풀이 2020.09.19
LORD OF SQL INJECTION [VAMPIRE] 풀이 2019.10.30

PREV 1 NEXT

Webhacking.kr [old-24] 문제 풀이

2020. 9. 19. 03:02

client ip와 agent 정보를 확인할 수 있고

아래에는 wrong IP라고 적혀 있다. 일단 ip값을 맞추면 되는 문제라고 추측해볼 수 있다.

소스를 보자.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

<?php
  include "../../config.php";
  if($_GET['view_source']) view_source();
?><html>
<head>
<title>Challenge 24</title>
</head>
<body>
<p>
<?php
  extract($_SERVER);
  extract($_COOKIE);
  $ip = $REMOTE_ADDR;
  $agent = $HTTP_USER_AGENT;
  if($REMOTE_ADDR){
    $ip = htmlspecialchars($REMOTE_ADDR);
    $ip = str_replace("..",".",$ip);
    $ip = str_replace("12","",$ip);
    $ip = str_replace("7.","",$ip);
    $ip = str_replace("0.","",$ip);
  }
  if($HTTP_USER_AGENT){
    $agent=htmlspecialchars($HTTP_USER_AGENT);
  }
  echo "<table border=1><tr><td>client ip</td><td>{$ip}</td></tr><tr><td>agent</td><td>{$agent}</td></tr></table>";
  if($ip=="127.0.0.1"){
    solve(24);
    exit();
  }
  else{
    echo "<hr><center>Wrong IP!</center>";
  }
?><hr>
<a href=?view_source=1>view-source</a>
</body>
</html>
Colored by Color Scripter

cs

$ip가 127.0.0.1이 되면 문제가 풀린다.

extract 함수는 배열의 키값을 변수화 시켜주는 함수이다. 12행에 extract($_COOKIE); 가 있기 때문에

cookie에 REMOTE_ADDR="abcd"를 넣어주면, $REMOTE_ADDR의 값이 "abcd"가 되어 13행에서 $ip에 "abcd"값이 들어가게 된다.

17~20행에서 특정 문자열이 치환되는 것을 고려하여 결과가 127.0.0.1이 되는 입력값은 112277...00...00...1 이다.

따라서 쿠키에 REMOTE_ADDR라는 이름에 값을 112277...00...00...1으로 설정해주면 된다.

저작자표시 비영리 동일조건

'WAR GAME > Webhacking.kr' 카테고리의 다른 글

Webhacking.kr [old-33] 문제 풀이 (0)	2020.09.19
Webhacking.kr [old-32] 문제 풀이 (0)	2020.09.19
Webhacking.kr [old-17] 문제 풀이 (0)	2020.09.19
Webhacking.kr [old-06] 문제 풀이 (0)	2020.09.19
Wargame.kr [login with crypto! but..] 풀이 (0)	2020.01.09

LORD OF SQL INJECTION [VAMPIRE] 풀이

2019. 10. 30. 08:00

https://los.rubiya.kr

VAMPIRE

문제 소스:

1
2
3
4
5
6
7
8
9
10
11
12
13
14

http://www.wechall.net
<?php 
  include "./config.php"; 
  login_chk(); 
  $db = dbconnect(); 
  if(preg_match('/\'/i', $_GET[id])) exit("No Hack ~_~");
  $_GET[id] = strtolower($_GET[id]);
  $_GET[id] = str_replace("admin","",$_GET[id]); 
  $query = "select id from prob_vampire where id='{$_GET[id]}'"; 
  echo "<hr>query : <strong>{$query}</strong><hr><br>"; 
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if($result['id'] == 'admin') solve("vampire"); 
  highlight_file(__FILE__); 
?>
Colored by Color Scripter

cs

  if(preg_match('/\'/i', $_GET[id])) exit("No Hack ~_~");
  $_GET[id] = strtolower($_GET[id]);
  $_GET[id] = str_replace("admin","",$_GET[id]);

따옴표가 발견되었을 때에는 exit을 통해 코드를 종료시켜버리지만,

"admin"이 발견되었다고 코드를 종료시키지는 않고, 해당 문자열을 ""로 치환시킨다.

(이전 문제 풀이 방식으로 대문자로 ADMIN을 입력하는 경우 strtolower함수에 의해 소문자로 치환되기 때문에, 사용할 수 없다.)

그러면 입력을 12admin345 로 하면 admin이 치환되어 12345가 남게된다. 이를 이용해서

adadminmin을 입력하면 admin이 치환되어 admin이 남고, 조건문을 통과할 수 있다.

id에 adadminmin을 입력하면 된다.

저작자표시 비영리 동일조건

'WAR GAME > Lord of SQLi' 카테고리의 다른 글

LORD OF SQL INJECTION [golem] 풀이 (0)	2019.11.01
LORD OF SQL INJECTION [SKELETON] 풀이 (0)	2019.10.31
LORD OF SQL INJECTION [troll] 풀이 (0)	2019.10.29
LORD OF SQL INJECTION [orge] 풀이 (0)	2019.10.28
LORD OF SQL INJECTION [darkelf] 풀이 (0)	2019.10.27