[Dreamhack] CTF Season 5 Round #2 - php7cmp4re

🛎️ Access

php 7.4로 작성된 페이지입니다.
알맞은 Input 값을 입력하고 플래그를 획득하세요.
플래그 형식은 DH{} 입니다.

 

 

👾 Exploit Algorithm & Payload

> index.php

<html>
<head>
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.2/css/bootstrap.min.css">
<title>php7cmp4re</title>
</head>
<body>
    <!-- Fixed navbar -->
    <nav class="navbar navbar-default navbar-fixed-stop">
      <div class="container">
        <div class="navbar-header">
          <a class="navbar-brand" href="/">php7cmp4re</a>
        </div>
        <div id="navbar">
          <ul class="nav navbar-nav">
            <li><a href="/">index page</a></li>
          </ul>
        </div><!--/.nav-collapse -->
      </div>
    </nav>
    <div class="container">
      <div class="box">
      <h4>Enter the correct Input.</h4>
        <p>
          <form method="post" action="/check.php">
              <input type="text" placeholder="input1" name="input1">
              <input type="text" placeholder="input2" name="input2">
              <input type="submit" value="제출">
          </form>
        </p>
      </div>

    <?php
        require_once('flag.php');
        error_reporting(0);
    ?> 
    </div> 
</body>
</html>

> check.php

<html>
<head>
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.2/css/bootstrap.min.css">
<title>php7cmp4re</title>
</head>
<body>
    <!-- Fixed navbar -->
    <nav class="navbar navbar-default navbar-fixed-top">
      <div class="container">
        <div class="navbar-header">
          <a class="navbar-brand" href="/">php7cmp4re</a>
        </div>
        <div id="navbar">
          <ul class="nav navbar-nav">
            <li><a href="/">Index page</a></li>
          </ul>
        </div><!--/.nav-collapse -->
      </div>
    </nav>
    <div class="container">
    <?php
    require_once('flag.php');
    error_reporting(0);
    // POST request
    if ($_SERVER["REQUEST_METHOD"] == "POST") {
      $input_1 = $_POST["input1"] ? $_POST["input1"] : "";
      $input_2 = $_POST["input2"] ? $_POST["input2"] : "";
      sleep(1);

      if($input_1 != "" && $input_2 != ""){
        if(strlen($input_1) < 4){
          if($input_1 < "8" && $input_1 < "7.A" && $input_1 > "7.9"){
            if(strlen($input_2) < 3 && strlen($input_2) > 1){
              if($input_2 < 74 && $input_2 > "74"){
                echo "</br></br></br><pre>FLAG\n";
                echo $flag;
                echo "</pre>";
              } else echo "<br><br><br><h4>Good try.</h4>";
            } else echo "<br><br><br><h4>Good try.</h4><br>";
          } else echo "<br><br><br><h4>Try again.</h4><br>";
        } else echo "<br><br><br><h4>Try again.</h4><br>";
      } else{
        echo '<br><br><br><h4>Fill the input box.</h4>';
      }
    } else echo "<br><br><br><h3>WHat??!</h3>";
    ?> 
    </div> 
</body>
</html>

> flag.php

<?php
    $flag = 'flag{**Sample**}'
?>

 

 

#1

---

: '/' 페이지에서 다음과 같이 input1과 input2에 입력 후 제출하면 값을 확인할 수 있을 것으로 예상된다.

: 그러나 어떤 값을 입력하여도 "Try again."이라는 결과가 출력되어서 코드를 분석했다.

 

 

#2

---

1) input_1과 input_2는 공백이여서는 안된다
2) input_1의 문자열 길이는 4 미만이어야 한다
3) input_1은 문자열 값 "8" 보다 작고 "7.A"보다 작으며 동시에 "7.9"보다 커야 한다.
4) input_2는 문자열 길이는 3 미만, 1 초과이어야 하고(3 > input_2 > 1),
    결과값은 숫자 74 > input_2, 문자열 "74" < input_2 이어야 한다.

: check.php 조건문 해석은 다음과 같다.

 

 

#3

---

 

: input_1은 문자열 값 "8"보다 작고, "7.9"보다 크며, "7.A"보다 작아야 한다.

: 또한 문자열 길이가 4미만이어야 하기에 ASCII 코드를 이용했다.

: "7." 뒤에 오는 문자는 "9"보다 크고 "A"보다 작아야 한다. 때문에 만족하는 값은 7.: ~ 7.@ 이다.

: 따라서 input1에 값을 작성하면 "Good Try."를 만날 수 있다.

 

 

 

 

 

 

 

#4

---

: input_2는 3 > strlen($input_2 )> 1, 74 > input_2 > "74" 이다.

: PHP에서는 문자열을 숫자로 변환활 때, 가능한 가장 긴 숫자를 찾는다.

: 즉, 숫자가 아닌 문자를 만날 때까지 문자열을 숫자로 변환한다.

: 예를들면 "7a", "7A", "7#", ...의 문자열은 숫자로 해석될 때, 숫자 74보다 작게 되고, 문자열 74보다는 크게 되는 것이다.

: 때문에 만족하는 값은 7: ~ ...(뒤에 ASCII 문자들 등등 다양하게 가능)

 

 

🔑Analysis and results for obtaining the Flag DH{…}

---