Tyojong

제공된 파일은 관리자 권한 계정과 6.8.2버전(대회 당일 기준 최신 버전)이 자동 설치되는 파일만 제공되었다.rce를 이용해 readflag파일을 실행시키면 플래그를 획득할 수 있다. rce를 위해 php테마 파일 수정, 악성 플러그인 업로드 등을 시도했지만 모두 불가능 하였다... 제공된 도커파일을 확인해보면 pearcmd파일이 남아있는 것을 알 수 있다.이 pearcmd를 실행시켜 rce를 가능하게 하려면 lfi 취약점을 찾아야한다. if ( wp_using_themes() ) { $tag_templates = array( 'is_embed' => 'get_embed_template', 'is_404' => 'get_404_template', 'i..

query : {$query}"; $result = @mysqli_fetch_array(mysqli_query($db,$query)); if($result['id']) solve("zombie_assassin"); highlight_file(__FILE__); ?> 문제 목표if($result['id']) solve("zombie_assassin"); id가 출력되면 문제가 해결된다. $_GET['id'] = strrev(addslashes($_GET['id']));$_GET['pw'] = strrev(addslashes($_GET['pw']));id와 pw에서 입력받은 문자열은 addslashes함수와 strrev함수를 거친다.addslashes함수는 ' " \ null 앞에 \를 붙여 문자..

query : {$query}"; $result = @mysqli_fetch_array(mysqli_query($db,$query)); if($result['id']) solve("succubus"); highlight_file(__FILE__); ?> 문제 목표if($result['id']) solve("succubus");id를 출력하면 문제가 해결된다. if(preg_match('/\'/',$_GET[id])) exit("HeHe");if(preg_match('/\'/',$_GET[pw])) exit("HeHe");id와 pw로 입력된 작은 따옴표는 필터링된다. 문제 해결sql injection을 하기 위해서는 따옴표를 활용해 기존 비교 구문을 탈출시켜야 하지만 필터링 되기 때문에 다른 ..