[webhacking.kr-old] 8번

주소 : https://webhacking.kr/old.php

Webhacking.kr

---

 [ 풀이 ] 

보자마자 물음표 연사?!!???

새로고침을 해보니, 아래와 같이 출력된다.

소스코드를 살펴보자.

아래는 소스코드의 일부이다.

 

 

↓ getenv( http_user_agent ) 설명

getenv()는 함수의 인자로 오는 변수에 따라, 해당되는 환경 변수 값을 알려주는 함수 이다.

• REMOTE_ADDR : 웹 사이트에 접속한 컴퓨터 IP주소
• HTTP_USER_AGENT : 웹 사이트를 접속한 컴퓨터의 웹 브라우저 정보

 

소스코드를 분석하면 아래와 같다.

• 웹 사이트에 접속한 브라우저 정보를 $agent에 저장하고, ip주소는 $ip에 저장한다.
• 만약 $agent에 from이 존재한다면, 권한이 없다는 알림창과 해당 agent의 정보를 htmlspecialchar함수를 적용하여 출력한다.
• 현재 가지고 있는 id가 70개가 넘으면 chall8은 리셋된다.
• 만약 $ck라는 쿼리 결과값이 있다면, "hi + {id}"형식으로 출력한다.
• $ck[0]에 admin이 존재한다면,  문제는 클리어된다.
• 만약 $ck 안에 값이 없다면 브라우저 정보, ip, id 순서대로 저장된다.

 

즉, $ck[0]에 admin이 존재하게 해야된다.

그렇게 하기 위해서는 소스코드에 이미 지정되어 있는 guest대신 admin을 입력하여 db에 저장해야 된다는 의미이다.

---

user-agent를 확인하기 위해서, burp suite로 잡아보았다.

그리고 소스코드 분석이 맞는지, 약간의 테스트를 해보았다.

 

from을 입력하고 전송해보았다.

아래와 같이 분석한 대로, 출력되는 것을 확인할 수 있다.

---

그렇다면, 소스코드 중에서 insert 쿼리문을 참고하여, admin이라는 id값을 db에 저장해보자.

 

기존에 있던 user-agent를 지우고 아래와 같은 내용을 삽입하여 전송하였다.

hi','1234','admin'),('bye

그 결과, 2개 였던 것이 3개로 늘어난 것을 확인할 수 있다.

---

이제, user-agent를 아까 삽입한 내용대로 바꿔서 전송하면 id가 admin으로 바뀔 것이라고 예상된다.

 

참고로, ip는 바꿀 필요 없이 user-agent만 admin에 해당되는 값으로 바꿔주면 된다.

id값을 불러올 시, user-agent만 참고해서 불러오기 때문이다.

쨘~~ 8번 문제도 클리어 하였다 : )