webhacking.kr 25번 문제
웹해킹 25번 문제입니다.
150점 짜리 문제입니다.
문제화면입니다.
문제를 보면 웹사이트에서 ?file=hello 라고 나와있습니다. 파일 hello 는 위와 같은 텍스트를 출력합니다.
file 뒤에 hello.txt 를 쳤더니 아무 텍스트도 나타나지 않습니다.
password.php 를 쳤더니 아무것도 나타나지 않습니다.
hello 만 쳐서 나타난 것을 보니 hello(.txt) 생략이 되어 있는 것 같습니다.
문제는 file변수의 값과 .txt를 이어주고 파일 내용을 출력해주는 것같습니다.
만약 변수 file을 값을 PHP 스크립트 내부에서, urldecode 함수를 사용하여 값을 받게 되면, 널 문자(%00)를 이용하여 문자열을 잇
지 않고 끊게 할 수 있다. (문자열의 마지막에는 항상 널 문자가 있기 때문입니다.)
출처 : Layer7 10기, 이재훈
'* Wargame > WebHacking' 카테고리의 다른 글
| webhacking.kr 11번 문제 (0) | 2012.11.28 |
|---|---|
| webhacking.kr 27번 문제 (3) | 2012.11.21 |
| webhacking.kr 36번 문제 (0) | 2012.08.24 |
| webhacking.kr 6번 문제 (0) | 2012.08.22 |
