[Dreamhack] php-1 드림핵 워게임 문제 풀이

6 - 0 - 2. php - 1 드림핵 문제 풀이

 

 

 

# php - 1 드림핵 문제 풀이

1. 문제 확인 후 문제 파일 다운로드

+ LFI(=Local File Inclusion) 취약점이란?

: 사용자로부터 입력받은 값이나 요소를 '경로'에 추가하는 과정에서 발생하는 취약점으로, 주로 php로 만들어진 웹사이트가 특정 함수(include,require,fopen)를 사용할 때 발생한다.

-->  서버 안에 존재하는 파일에 접근하는 방식을 통해 공격 가능

 

 

 

 

2. 문제 파일(index.php, list.php, main.php, view.php) 분석

index.php

+ << Line 23 ~ 26 >>

: include 함수를 이용하여 GET 방식으로 변수 page에 php명을 입력받고, 이에 대한 main.php를 호출

 

 

 

list.php

 

 

 

main.php

 

 

 

view.php

+ << Line 4 >>

: 변수 file에 경로를 부여하는 과정에서 flag 문자열을 필터링하여 접속 제한  

-->  접속 정보의 링크에서 flag.php를 클릭 시 접근 거부 메시지가 뜨는 이유로, flag 필터링 우회 기법을 사용하여 flag 에 접근해야 함

 

 

 

 

3. 접속 정보 확인 후 안내된 링크로 접속

 

 

 

 

 

4. List 페이지로 이동 후 flag.php와 hello.json 클릭

 

flag.php 클릭 시

 

hello.json 클릭 시

 

 

 

 

5. Home 페이지에서 PHP Wrapper 종류 중 하나인 php://filter 을 사용하여 상단의 url 란에 http://host3.dreamhack.games:18527/?page=php://filter/convert.base64-encode/resource=/var/www/uploads/flag 입력

 

url 입력 후 반쯤 잘려진 상태의 base64로 인코딩된 코드가 출력

+ 문제 해결을 위해 PHP Wrapper 기능 중 하나인 php://filter Wrapper을 이용

PHP Wrapper의 종류
expect://	php://filter	zip://	php://stdout	php://input	php://fd/[fd 숫자]

-->  php.filter Wrapper

:인코딩과 디코딩 옵션을 이용하여 서버 안의 문서(=flag 값) 열람 가능

 

-->  resource/

: 필터링할 스트림(stream)을 나타냄

 

-->  convert.base64-encode

: 데이터를 base64로 인코딩

 

 

 

 

6. Base64 디코더를 통해 인코딩된 문자열을 디코딩

 

Flag는&nbsp;DH{bb9db1f303cacf0f3c91e0abca1221ff}

+ Flag가 성공적으로 출력됨을 확인

 

 

 

 

+ 자료 참고

https://watchout31337.tistory.com/148#:~:text=wrapper/

https://hevton.tistory.com/140