![]()
이거 저번에도 비슷한 문제 있었던거 같은데 뭐였는지 까먹었다.코드에서 가장 의심되는 부분은 mb_convert_encoding이다.utf-8에서 euc-kr로 바꾸는데 이럴때 만약 %aa%27 이게 들어오면은?addslashes가 붙어 %aa\%27이런식으로 될거다. 하지만 mb_convert_encoding을 사용하면%aa\' => (이상한값)' 이렇게 바뀐다 즉, %aa\를 한문자로 취급해버려 이상한값으로 바꿔버린다.이러면 addslashes 우회가 가능하다.이후엔 그냥 admin필터링되어있으니 16진수바꿔서 하면 끝이다
LFI 란 파일 취약점이다보통 ../../../을 이용해서 다른 파일을 볼 수 있는 취약점을 말한다. 그러면 LFI로 무엇을 할 수 있는가?일단 RCE가 가능하다.뭐 일단 RCE경우엔 아래 블로그에 세션을 이용한 RCE지만 다른 경우도 포함되어 있으니 블로그 링크만 올리겠다.https://blog.rubiya.kr/index.php/2018/11/28/rce-by-lfi-using-php-session-file-without-angle-bracket/ RCE by lfi using php session file without angle bracket – blog.rubiya.kr개요 lfi는 local file include 의 줄임말로 공격자가 원하는 파일을 include 시킴으로써 소스코드를 leak..
![]()
저 flag.php 를 읽으면 된다.처음 flag.php에 접속하면 아무것도 뜨지 않는다.이게 read권한이 없어서 그냥 안읽히는줄 알고 php 웹쉘을 시도해봤는데 그래서 찾아보니깐 apache환경에서 .htaccess라는 파일을 사용할 수 있다고 한다..htaccess파일은 같은 폴더의 파일들에 룰을 지정? 할 수 있는 그런 apache 설정 파일이다..htaccess 파일이 은근 뭘 많이 할 수 있는데 쓸만한거 몇개 올려보겠다. 1. 파일 확장자 지정AddType application/x-httpd-php .xxx.xxx라는 파일을 php파일로 쓸 수 있다. 2. 파일 강제 실행php_value auto_prepend_file /full/path/to/prepend.php이 설정은 어떤 파일이 실행되..
admin권한을 가진 사용자로 로그인하면 되는 문제이다.#!/usr/bin/python3from flask import Flask, request, render_template, make_response, redirect, url_for, session, gimport sqlite3import hashlibimport osimport time, randomapp = Flask(__name__)app.secret_key = os.urandom(32)DATABASE = "database.db"userLevel = { 0 : 'guest', 1 : 'admin'}MAXRESETCOUNT = 5try: FLAG = open('./flag.txt', 'r').read()except: FLAG..
