close
프로필 배경
프로필 로고

매일매일 성장하는 블로그

웹해킹/wargame.kr · 2019. 10. 22. fullscreen 넓게보기

type confusion

반응형

type confusion 문제를 눌러보면

start를 누르면

 view-source를 누르면

<?php
 if (isset($_GET['view-source'])) {
     show_source(__FILE__);
    exit();
 }
 if (isset($_POST['json'])) {
     usleep(500000);
     require("../lib.php"); // include for auth_code function.
    $json = json_decode($_POST['json']);
    $key = gen_key();
    if ($json->key == $key) {
        $ret = ["code" => true, "flag" => auth_code("type confusion")];
    } else {
        $ret = ["code" => false];
    }
    die(json_encode($ret));
 }

 function gen_key(){
     $key = uniqid("welcome to wargame.kr!_", true);
    $key = sha1($key);
     return $key;
 }
?>

<html>
    <head>
        <script src="//ajax.googleapis.com/ajax/libs/jquery/1.8.1/jquery.min.js"></script>
        <script src="./util.js"></script>
    </head>
    <body>
        <form onsubmit="return submit_check(this);">
            <input type="text" name="key" />
            <input type="submit" value="check" />
        </form>
        <a href="./?view-source">view-source</a>
    </body>
</html>

 

다음과 같은 코드가 나오는데 여기서 중요한 코드만 해석해보면

if (isset($_POST['json'])) {
     usleep(500000);
     require("../lib.php"); // include for auth_code function.
    $json = json_decode($_POST['json']);
    $key = gen_key();
    if ($json->key == $key) {
        $ret = ["code" => true, "flag" => auth_code("type confusion")];
    } else {
        $ret = ["code" => false];
    }
    die(json_encode($ret));
 }

if(isset($_POST['json'])) :  text 필드에서 값을 받아오면

$json = json_decode($_POST['json']) : 받은 값을 $json 변수에 저장

$key = gen_key() 함수를 통해 키를 생성한다.(gen_key()함수에 대한 설명은 밑에서 하도록 하겠다.)

if($json -> key == $key) ~~ : 만약 받은 json 변수 값과 key 값이 동일할 경우 flag 획득

 

gen_key() 함수

 function gen_key(){
     $key = uniqid("welcome to wargame.kr!_", true);
    $key = sha1($key);
     return $key;
 }

key라는 변수에 uniqid() 함수를 이용하여 고유 id를 만드는데 앞에는 welcome to wargame.kr!_이라는  접두어가 붙고 뒤에 true라는 매개변수 때문에 16진수 23자리의 고유 id를 만들어낸다.

그 후 고유 id를 sha1 암호화를 한다.

 

문제를 한 문장으로 표현하면 내가 넣은 값과 $key의 값이 일치하면 flag를 획득한다.

이제 문제를 풀어보자

먼저 burpsuite를 킨다.

그 후 텍스트 필드에 아무 값이나 집어넣은 후 패킷을 잡는다.

패킷을 잡으면 다음과 같이 json값이 나오는데 이 json 값은 URL Encode 되어 있다.

이 값을 decode 하는 방법은 json 값을 누르고 오른쪽 마우스를 누른 다음에 convert selection -> URL -> URL decode를 누르면

다음과 같이 {"key":"123"}라는 값이 나온다.

문제를 풀기 전에 PHP 느슨한 비교를 알아야 한다.

다음 표는 PHP에서 '=='를 통한 느슨한 비교표이다.

"" 안에 문자가 들어가 있는 경우 True 값이나 0, 똑같은 문자를 집어넣게 되면 true를 리턴하게 된다.

이를 이용하여 key : ~에서 ~에 0을 집어넣고

다음과 같이 flag 값이 나온다.

반응형
저작자표시

'웹해킹 > wargame.kr' 카테고리의 다른 글

php? c?  (1) 2019.11.07
img recovery  (0) 2019.10.24
tmitter  (0) 2019.08.12
md5 compare  (0) 2019.08.12
strcmp  (0) 2019.08.12
웹해킹/wargame.kr 관련 글
더 보기

티스토리툴바