: level 11 → level 12
http://natas12.natas.labs.overthewire.org
natas13 메인 화면이다. 이번에는 파일 선택 기능이 추가됐다.
소스코드를 확인해보자.
<html>
<head>
<!-- This stuff in the header has nothing to do with the level -->
<link rel="stylesheet" type="text/css" href="http://natas.labs.overthewire.org/css/level.css">
<link rel="stylesheet" href="http://natas.labs.overthewire.org/css/jquery-ui.css" />
<link rel="stylesheet" href="http://natas.labs.overthewire.org/css/wechall.css" />
<script src="http://natas.labs.overthewire.org/js/jquery-1.9.1.js"></script>
<script src="http://natas.labs.overthewire.org/js/jquery-ui.js"></script>
<script src=http://natas.labs.overthewire.org/js/wechall-data.js></script><script src="http://natas.labs.overthewire.org/js/wechall.js"></script>
<script>var wechallinfo = { "level": "natas12", "pass": "<censored>" };</script></head>
<body>
<h1>natas12</h1>
<div id="content">
<?
function genRandomString() {
$length = 10;
$characters = "0123456789abcdefghijklmnopqrstuvwxyz";
$string = "";
for ($p = 0; $p < $length; $p++) {
$string .= $characters[mt_rand(0, strlen($characters)-1)];
}
return $string;
}
function makeRandomPath($dir, $ext) {
do {
$path = $dir."/".genRandomString().".".$ext;
} while(file_exists($path));
return $path;
}
function makeRandomPathFromFilename($dir, $fn) {
$ext = pathinfo($fn, PATHINFO_EXTENSION);
return makeRandomPath($dir, $ext);
}
if(array_key_exists("filename", $_POST)) {
$target_path = makeRandomPathFromFilename("upload", $_POST["filename"]);
if(filesize($_FILES['uploadedfile']['tmp_name']) > 1000) {
echo "File is too big";
} else {
if(move_uploaded_file($_FILES['uploadedfile']['tmp_name'], $target_path)) {
echo "The file <a href=\"$target_path\">$target_path</a> has been uploaded";
} else{
echo "There was an error uploading the file, please try again!";
}
}
} else {
?>
<form enctype="multipart/form-data" action="index.php" method="POST">
<input type="hidden" name="MAX_FILE_SIZE" value="1000" />
<input type="hidden" name="filename" value="<? print genRandomString(); ?>.jpg" />
Choose a JPEG to upload (max 1KB):<br/>
<input name="uploadedfile" type="file" /><br />
<input type="submit" value="Upload File" />
</form>
<? } ?>
<div id="viewsource"><a href="index-source.html">View sourcecode</a></div>
</div>
</body>
</html>
genRandomPath() 함수로 10자리의 랜덤 문자열을 생성하고, makeRandomPath() 함수에서 랜덤 문자열에 확장자를 붙여서 새로운 path를 만든 다음 유효성을 검사한다. makeRandomPathFromFilename() 함수는 해당 path를 반환한다.
밑에 있는 if-else문을 간략하게 살펴보면, 업로드한 파일의 크기가 1000을 넘지 않으면 해당 경로로 이동해주는 링크를 생성해준다. 즉 natas13의 비밀번호를 출력해주는 코드를 작성한 파일을 업로드 해주고, 해당 링크를 실행하면 natas13의 password을 알아낼 수 있다.
지난번부터 사용했던 passturh 함수를 사용해서 natas13.php이라는 파일을 생성한다.
<?php
passthru("cat /etc/natas_webpass/natas13");
?>natas13.php파일을 선택하고 업로드한다.
하지만 파일의 확장자가 jpg로 강제로 바껴서 파일이 실행되지 않을 것이다.
burp suite를 켜서 중간에 확장자를 php로 바꿔주자.
확장자를 바꿔주면 다음과 같이 제대로 링크가 생성되는 것을 볼 수 있다.
해당 링크를 클릭하면 natas13의 password를 볼 수 있다.
natas13 password: jmLTY0qiPZBbaKc9341cqPQZBJv7MQbY
'Study > Web Hacking' 카테고리의 다른 글
| [LOS] darkelf (0) | 2021.05.23 |
|---|---|
| [natas] Level 12 -> Level 13 (0) | 2021.05.23 |
| [XSS Challenge] Stage #10 (0) | 2021.05.15 |
| [XSS Challenge] Stage #9 (0) | 2021.05.15 |
| [LOS] wolfman (0) | 2021.05.15 |