25번 - PHP Wrapper

※ 문제될 시에 비공개 처리하도록 하겠습니다. ※

 

 

디렉터리의 내부를 보여주고 있는 모습입니다.

flag.php에 FLAG가 있을 것이라고 예상되고, hello.php와 index.php가 있네요.

 

 

URI 파라미터에서 file 이름으로 hello의 값이 전달되니 hello.php의 파일내용이 나왔습니다.

이는 GET 방식의 file이라는 이름의 파라미터를 받아 여기에 '.php'를 붙여 file_get_contents와 같은 함수를 사용하는 것으로 추측할 수 있습니다.

 

 

php 파일이 해석되어 echo를 통해 문자열이 나타난 것 같습니다.

하지만, FLAG는 변수로 저장되어있겠죠.

그렇다면 flag.php 파일의 소스코드를 직접 봐야할 것 같습니다.

이럴 때 사용하는 것이 wrapper죠.

 

파일 안의 모든 내용을 인코딩해서 출력할 수 있습니다.

이는 LFI(Local File Include) 취약점 공략법 중 하나입니다.

 

payload는 이렇습니다.

php://filter/convert.base64-encode/resource=flag

 

 

딱 봐도 base64로 인코딩된 파일의 내용을 뱉었네요.

 

이제 디코딩하고 AUTH 페이지에 인증을 한다면~