11번째로 푼 문제이다.
제목은 타입 혼란??
type confusion
(type confusion)
문제 페이지는 아래와 같다.
(문제 페이지)
체크박스 하나있고 소스코드를 볼 수 있는 링크가 있다.
소스코드를 살펴보겠다.
소스코드를 살펴보겠다.
(소스코드 분석)
소스코드를 정리하자면
POST방식으로 json 변수에 값을 넣어 전달해야하고
그 값의 key값이 페이지 내 생성된 key값과 같으면 flag가 나온다.
여기서 key값은 임의로 생성되므로 알아낼 길이 없다.
다만 비교연산자를 == 로 쓰는것을 보아 이 취약점을 이용하면 풀릴거라는 생각이 들었다.
전에 비교연산자로 인해 며칠을 고민했던 터라 이번 문제는 쉽게 풀 수 있었다.
바로 ==로 비교할때 문자는 0으로 변환되기 때문에 숫자 0과 비교하면 참이 나온다.
POST방식으로 json 변수에 값을 넣어 전달해야하고
그 값의 key값이 페이지 내 생성된 key값과 같으면 flag가 나온다.
여기서 key값은 임의로 생성되므로 알아낼 길이 없다.
다만 비교연산자를 == 로 쓰는것을 보아 이 취약점을 이용하면 풀릴거라는 생각이 들었다.
전에 비교연산자로 인해 며칠을 고민했던 터라 이번 문제는 쉽게 풀 수 있었다.
바로 ==로 비교할때 문자는 0으로 변환되기 때문에 숫자 0과 비교하면 참이 나온다.
(비교 참)
그렇다면 나는 key에 0을 넣어 json 인코딩해서 넣어주면 된다!
(json 인코딩)
그런데 POST라면서 보낼 폼이 없다... 저기 체크박스도 name이 다르게 설정되어 안된다..
그래서 내가 만들어서 보냈다.
그래서 내가 만들어서 보냈다.
(son 값 보내기 폼)
만든 폼을
관리자모드에서 적어주어 폼을 보내준다.
관리자모드에서 적어주어 폼을 보내준다.
(폼 작성)
(보내기)
보내면 flag가 나오고 문제가 풀린다! :)
(문제 해결)
'WarGame > 500 Project' 카테고리의 다른 글
| (13/500) Wargame.kr - SimpleBoard (0) | 2017.04.16 |
|---|---|
| (12/500) Wargame.kr - tmitter (0) | 2017.04.15 |
| (10/500) Wargame.kr - md5 password (0) | 2017.04.14 |
| (9/500) Wargame.kr - md5_compare (0) | 2017.04.13 |
| (8/500) Wargame.kr - fly me to the moon (0) | 2017.04.13 |