webhacking.kr 25번

25번 문제를 보면 다음과 같이 hello world가 출력된 것을 볼 수 있다. url을 보면 ?file=hello라는 것을 볼 수 있다. 아래의 파일 목록의 세 개 항목 중 hello.txt 파일의 내용을 읽어 textarea에 출력되는 것을 볼 수 있다.

 

 

hello.txt에서 확장자를 제외한 파일 이름만을 입력하였을 때 내용이 출력되는 것을 보면 자동으로 .txt가 붙는다는 것을 추측할 수 있다.

 

따라서 flag가 있을 것으로 추정되는 password.php파일을 읽기 위해 ?file=password.php를 입력할 경우, ?file=password.php.txt로 입력될 것으로 보인다. 실제로 ?file=password.php를 입력한 경우, 아래와 같이 hello world가 출력된 것으로 보아 존재하지 않는 파일 명이 입력된 경우 hello.txt를 출력하는 것으로 보인다.

 

 

 

 

password.php.txt가 아닌 password.php를 전달하기 위해 .php 뒤에 널문자를 url 인코딩한 %00을 붙여주면 다음과 같이 패스워드를 얻을 수 있다.