One_Blog

보면 file이라는 파라미터를 통해 파일을 불러와주고 있다. 그리고 hello만 썼음에도 불구하고 hello.php 파일을 가져오는 것으로 보아, 딱봐도 ?file로 보낸 값에 .php를 붙여주는 것 같았다. 한마디로 lfi 취약점은 터지는데, .php 때문에 원하는 파일을 읽지 못하는 상황인 것이다. 이럴 때는 php filter wrapper라는 아주 좋은 친구가 있다. https://book.hacktricks.xyz/pentesting-web/file-inclusion/lfi2rce-via-php-filters LFI2RCE via PHP Filters - HackTricks $convs = array('437', '500', '500V1', '850', '851', '852', '855', '8..

child toctou 라이트업이다. 이전의 baby toctou와 다르게 이상한 여러 검증 절차가 추가되었다. 이런식으로, HOST를 검사하여 HOST가 webhacking.kr이 아니고, HOST를 dns reolve했을 때 결괏값이 202.182.106.159가 아니라면 그냥 아무것도 실행을 안해버린다. 그리고 만약 HOST 검증을 통과하면, curl로 http://HOST:10020/cmd/{$_GET['q']}.txt를 한 후에, response값을 system으로 실행하고 결과를 알려준다. baby toctou는 단순 문자열 검증이었기에, 동시에 cat flag.php와 ls를 보냄으로써 해결할 수 있었다. 하지만 여기서는 다르다. DNS REBINDING이라는 공격기법을 써야한다. DNS R..

오늘은 오랜만에 워게임 풀이를 하겠습니당. 문제에 처음 접속하게 되면, 다음과 같이 노노그램을 푸는 화면이 나옵니다. 좀 뜬금 없지만.. 빠르게 풀고 solve를 눌러줍니다. solve를 누르고 다음화면으로 넘어가니 사용자의 입력을 받는 칸이 나오네요. 아무 값이나 입력하고 전송해줍시다. 제가 입력한 값과 answer이라는 변수와 제 ip가 응답으로 날아오네요. answer은 대체 뭔지를 몰라서 10진수 , 16진수 , ASCII 등등 별걸로 다 변환을 해봤지만 딱히 의미가 없는 문자열 같았습니다... 아무 요청을 날리던 answer값은 매번 같더라구요. 그래서 값을 보내는 곳의 소스 코드를 뜯어봤습니다. 소스코드를 보니 hidden value로 answer 값을 보내는 거였군요... value값을 좀 ..