보안

0x01 문제 설명이전 Calculator 문제와 이어지는 버전의 문제다. 설명에 따르면 취약점을 방어하는 코드를 추가 하였다는 것을 알 수 있다.0x02 풀이 과정_ , . , mro 등 과 같은 문자들이 추가로 필터링 되고있다. 이전 문제와 같이 fileloader를 이용하여 /flag 를 읽어올 예정이다. SSTI 공격을 수행하는 과정은 Calculator 에서 다뤘기에, 이번에 사용한 필터링 우회에 관해서만 이야기해 볼 것이다.. 필터링 우회A.B -> A|attr('B')특정 문자 필터링 우회__class__data=request.form.get('a')&a=__class__위와같은 방식으로 ''.class.mro[1].subclasses()[99].get_data('/flag') 를 우회한 결..

0x01 문제 설명0x02 풀이 과정첨부된 소스코드를 보면, index.php 에서 $_SERVER[’QUERY_STRING’] 을 통해 쿼리 정보를 받아오고, config.php 에서 문자 필터링을 진행한다. 마지막에는 include($_SESSION['include_path']) 로 nav.php 를 불러온다. 취약점은 index.php 에서 발생한다.foreach($arr as $key=>$value){ $$key = fuck_path_change_or_check($value);}$$ 는 php의 가변변수 선언 시 사용하는 구문이다. 여기서 $_SESSION[’include_path’] 을 덮는다면 원하는 로컬 파일을 불러올 수 있다.GET 파라미터를 통해 공격을 수행하였다. GET 파라미터는..