btr95

extract()는 배열 속의 키값을 변수화 시켜주는 역할을 합니다.

$ip의 값이 127.0.0.1이 되어야 하는데 str_replace에서 필터링을 하고 있습니다.

str_replace를 우회하는 방법은 abc를 필터링 한다면 ababcc 이렇게 만들면 안에 있는 abc값만 지워지고 나머지 값들이 abc를 만들게 됩니다.

127.0.0.1 → 112277..00..00..1 로 변경해서 사용하면 됩니다.

$_COOKIE[REMOTE_ADDR]을 가져오는 것을 보고 쿠키 값을 만들어주면 됩니다.

<script>alert(1);</script> 를 입력할 수 있다면 성공입니다.

숫자를 입력할 때는 그대로 뿌려주는데 문자를 2개 이상 입력하면 no hack이라면서 필터링 됩니다.

무슨 문자던 2개 이상 입력할 수 없다면 시도 자체가 불가능합니다.

하지만 생각해 볼 수 있는 내용은 단순히 문자열에 대해서 ereg, eregi 함수는 특정 시스템에서 우회가 가능합니다.

%00 즉 NULL을 이용해서 문자열의 끝을 알려주는 것입니다.

문자열을 입력할 때 맨 마지막에 NULL 값이 자동으로 입력되어 문자열의 끝을 알려주는 역할을 합니다.

그렇다면 맨 처음에 %00을 입력해 문자열의 끝이라고 알려주게 된다면 ereg, eregi와 같은 함수들을 우회할 수 있습니다.

하지만 그냥 %00<script>alert(1);</script>를 입력하게 되면 잘 적용되지 않습니다.

burp suite를 통해서 중간에 값을 잡아보면 %의 값이 넘어갈 때 %25로 넘어가는 것을 알 수 있습니다.

이 값을 다시 %00으로 조정하면 성공하게 됩니다.

'admin'으로 나오도록 해야 하는데 id가 'guest'로 고정되어 있습니다.

1을 입력해보면 "hi guest"라는 말이 나오고, 1을 제외한 모든 것들은 아무것도 나오지 않습니다.

유추를 해보면 1이 guest면 0이나 2가 admin이라고 생각할 수 있습니다.

그래서 생각한 방법이 order by입니다.

order by는 정렬해주는 옵션으로 결국 해당 테이블의 순서를 admin이 먼저 나오게 만들면 성공하게 될 것입니다.

그렇게 하기에 우선 무조건 참을 만들기 위해 0 or 1=1 을 했습니다.

공백을 필터링 했기 때문에 %0a(개행)을 공백 부분의 넣어주고 입력하면, "hi guest"라는 문구가 나오게 됩니다.

그럼 이제 order by를 사용해 봅시다.

admin의 no값이 2라고 추정하고 0 or 1=1 order by no desc를 입력하면 성공을 하게 됩니다.

(0%0aor%0a1=1%0aorder%0aby%0ano%0adesc)