[웹해킹] Dreamhack beginner: php7cmp4re

CTF, War game

[웹해킹] Dreamhack beginner: php7cmp4re

mnzy🌱 2024. 8. 12. 03:05

1. 문제

https://dreamhack.io/wargame/challenges/1113

php7cmp4re

Description php 7.4로 작성된 페이지입니다. 알맞은 Input 값을 입력하고 플래그를 획득하세요. 플래그 형식은 DH{} 입니다.

dreamhack.io

2. 해결 과정

문제 페이지에 접속하면 두개의 input값을 입력하는 칸이 뜬다.

이 값에 따라 try again 등이 결과화면으로 보여진다.

(1) 코드 분석

<html>
<head>
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.2/css/bootstrap.min.css">
<title>php7cmp4re</title>
</head>
<body>
    <!-- Fixed navbar -->
    <nav class="navbar navbar-default navbar-fixed-top">
      <div class="container">
        <div class="navbar-header">
          <a class="navbar-brand" href="/">php7cmp4re</a>
        </div>
        <div id="navbar">
          <ul class="nav navbar-nav">
            <li><a href="/">Index page</a></li>
          </ul>
        </div><!--/.nav-collapse -->
      </div>
    </nav>
    <div class="container">
    <?php
    require_once('flag.php');
    error_reporting(0);
    // POST request
    if ($_SERVER["REQUEST_METHOD"] == "POST") {
      $input_1 = $_POST["input1"] ? $_POST["input1"] : "";
      $input_2 = $_POST["input2"] ? $_POST["input2"] : "";
      sleep(1);

      if($input_1 != "" && $input_2 != ""){
        if(strlen($input_1) < 4){
          if($input_1 < "8" && $input_1 < "7.A" && $input_1 > "7.9"){
            if(strlen($input_2) < 3 && strlen($input_2) > 1){
              if($input_2 < 74 && $input_2 > "74"){
                echo "</br></br></br><pre>FLAG\n";
                echo $flag;
                echo "</pre>";
              } else echo "<br><br><br><h4>Good try.</h4>";
            } else echo "<br><br><br><h4>Good try.</h4><br>";
          } else echo "<br><br><br><h4>Try again.</h4><br>";
        } else echo "<br><br><br><h4>Try again.</h4><br>";
      } else{
        echo '<br><br><br><h4>Fill the input box.</h4>';
      }
    } else echo "<br><br><br><h3>WHat??!</h3>";
    ?> 
    </div> 
</body>
</html>

중요한 부분은 input 값에 대한 조건문 속 비교 연산이다.

가장 첫 부분에서는 두 변수에 값이 할당되었는지 확인한다. post로 받는 입력값은 모두 문자열로 입력된다.

if ($_SERVER["REQUEST_METHOD"] == "POST") {
      $input_1 = $_POST["input1"] ? $_POST["input1"] : "";
      $input_2 = $_POST["input2"] ? $_POST["input2"] : "";
      sleep(1);

1) input_1에 대해서는 길이가 4보다 작은지 확인하고,

2) input_1의 값이 "8"보다 작고, "7.A"보다 작으며, "7.9"보다 커야 한다.

이때 비교값에 ""로 문자열로 되어있는 것을 보아, 단순한 숫자 비교 문제는 아닐 것이라고 생각하였다.

아스키 코드가 생각나서 이를 통해 비교 연산을 통과할 수 있는 방법을 알아보았다.

     if($input_1 != "" && $input_2 != ""){
        if(strlen($input_1) < 4){
          if($input_1 < "8" && $input_1 < "7.A" && $input_1 > "7.9"){

"8"은 10진수의 아스키 값으로 치환해서 생각하면 56, "7.A"는 55 46 65, "7,9"는 55 46 57이다.

즉, 56 보다 작고, 55 46 57 - 55 46 65 사이의 값이어야 한다.

[10진수 <-> 문자열] https://ko.calc-site.com/bases/ascii

이에 해당하는 55 46 60 의 값을 문자로 치환해보면 7.<이 나온다.

이는 문자열이 길이가 4 미만이며, 조건문에 해당하는 것이다.

하지만 이 55 46 60의 값이 56보다 작은지 확실하지 않아 실제로 php 코드로 비교문을 만들어 확인해보았다.

<?php

    function compareStrings($str1, $str2) {
        if ($str1 < $str2) {
            echo "\"$str1\" < \"$str2\"<br>";
        } elseif ($str1 > $str2) {
            echo "\"$str1\" > \"$str2\"<br>";
        } else {
            echo "\"$str1\" = \"$str2\"<br>";
        }
    }


    // 비교할 문자열들
    $input = "7.<";
    $input1 = "7.9";
    $input2 = "7.A";
    $input3 = "8";

    // 문자열 비교 결과 출력
    compareStrings($input, $input1); // "7.9" 비교
    compareStrings($input, $input2); // "7.A" 비교
    compareStrings($input, $input3); // "8" 비교


?>

[결과]

"7.<" > "7.9"

"7.<" < "7.A"

"7.<" < "8"

PHP에서 문자열을 비교할 때에는 문자열의 전체를 왼쪽에서 오른쪽으로 순차적으로 비교한다.

이떄, 비교는 문자열을 구성하는 각 문자의 ASCII 값에 따라 이루어진다. 따라서, 두 문자열의 첫 번째 문자가 동일하다면, 그 다음 문자를 비교하고, 이 과정을 반복해 전체 문자열을 비교한다.

"7.<"와 "8"의 첫 번째 문자는 각각 '7'과 '8'이다
'7'의 ASCII 값은 55이고, '8'의 ASCII 값은 56이다.

여기서 두 번째 문자는 비교할 필요가 없다. 왜냐하면 첫 번째 문자에서 이미 차이가 나기 때문이다. '7'(55)보다 '8'(56)이 크기 때문에, "7.<"는 "8"보다 작은 것으로 판단되는 것이다.

따라서, 문자열 비교는 첫 번째 문자에서 이미 결정되었고, 더 이상 다른 문자들을 비교하지 않게 되는 것이다. 이는 PHP뿐만 아니라 다른 프로그래밍 언어에서도 대부분 비슷하게 동작한다.

다음으로 input_2에 대한 비교연산이다.

1) input_2에 대해서는 길이가 3보다 작아야 하며, 1보다 커야 한다 (즉 2여야 한다.)

2) 값은 74보다 작고 "74"보다 커야 한다.

    if(strlen($input_2) < 3 && strlen($input_2) > 1){
              if($input_2 < 74 && $input_2 > "74"){

다음 input_2는 2자리 수로 값이 74보다 작고, 아스키값 "74" 즉, 55 52보다 커야 한다.

PHP에서는 정수와 문자열 비교시, 문자열이 정수(아스키값)로 전환해서 비교한다.

즉 55 52 - 74 사이의 수 중 2자리인 문자열을 찾으면 되는 것이다.

따라서 55 74 (7J) 의 값을 생각해냈다.

7J가 74보다 작은 이유는 아래 코드의 실행 결과를 보면 알 수 있다.

7J는 문자열로 정수형으로 바뀌면 7로 바뀌게 된다. 즉 74보다 작은 값이 되는 것이다.

<?php

function convertAndCompare($str, $int) {
    // 문자열을 숫자로 변환
    $converted = (int)$str;

    // 결과 출력
    echo "Original string: \"$str\"\n";
    echo "Converted to integer: $converted\n";

    // 비교 결과 출력
    if ($converted == $int) {
        echo "The converted value ($converted) is equal to $int.\n";
    } elseif ($converted < $int) {
        echo "The converted value ($converted) is less than $int.\n";
    } else {
        echo "The converted value ($converted) is greater than $int.\n";
    }
    echo "----------------------------\n";
}
// 테스트 문자열과 정수
$str1 = "7J";
$str2 = "12.34abc";
$str3 = "abc123";
$str4 = "00056xyz";
$int = 74;

convertAndCompare($str1, $int);
convertAndCompare($str2, $int);
convertAndCompare($str3, $int);
convertAndCompare($str4, $int);

?>

(2) 익스플로잇

이에 따라 input_1에는 7.< , input_2에는 7J를 입력했다.

플래그 획득 성공