[wargame.kr] type confusion

CTF, War game

[wargame.kr] type confusion

mnzy🌱 2024. 8. 19. 03:09

1. 문제

https://dreamhack.io/wargame/challenges/329

[wargame.kr] type confusion

Description Simple Compare Challenge. hint? you can see the title of this challenge. :D

dreamhack.io

2. 해결 과정

(1) 코드 분석

post 요청을 통해 json 객체를 받아와서 decode해준다.

이 결과가 post 요청시 실행되는 gen_key() 함수의 결과로 나온 key값과 일치할 경우에만 flag를 리턴해준다.

이때 비교연산에서 ==으로 느슨한 비교를 하고 있는 것을 확인할 수 있다.

2024.06.20 - [Study/WebHacking] - [PHP] Type Juggling 취약점

<?php
 if (isset($_GET['view-source'])) {
     show_source(__FILE__);
    exit();
 }
 if (isset($_POST['json'])) {
     usleep(500000);
     require("./lib.php"); // include for FLAG.
    $json = json_decode($_POST['json']);
    $key = gen_key();
    if ($json->key == $key) {
        $ret = ["code" => true, "flag" => $FLAG];
    } else {
        $ret = ["code" => false];
    }
    die(json_encode($ret));
 }

 function gen_key(){
     $key = uniqid("welcome to wargame.kr!_", true);
    $key = sha1($key);
     return $key;
 }
?>

<html>
    <head>
        <script src="//ajax.googleapis.com/ajax/libs/jquery/1.8.1/jquery.min.js"></script>
        <script src="./util.js"></script>
    </head>
    <body>
        <form onsubmit="return submit_check(this);">
            <input type="text" name="key" />
            <input type="submit" value="check" />
        </form>
        <a href="./?view-source">view-source</a>
    </body>
</html>

개발자 도구를 통해 util.js을 확인해보면 key라는 데이터를 어떤식으로 받아오는지 확인할 수 있다.

[참고] ajax로 post/get 요청 : https://blog.naver.com/PostView.nhn?blogId=ka28&logNo=222038499551

https://webinformation.tistory.com/22

코드를 key변수에 저장된 key값을 json이라는 이름으로 값을 받아온다.

즉 key:key 의 두번째 값이 위 php 코드 비교연산에서 확인할 수 있는 json의 key값인 것이다.

이 표현은 JavaScript 코드에서 사용됩니다. JavaScript 객체를 JSON 문자열로 변환한 다음, 해당 문자열을 json이라는 이름의 POST 데이터로 서버에 전송하는 것을 의미합니다.

key: 일반적으로 어떤 값을 나타내는 변수입니다. 이 변수는 key라는 속성 이름으로 JSON 객체에 포함됩니다.
{key: key}: 이 구문은 객체 리터럴을 만듭니다. 여기서 key는 객체의 속성이며, 그 값은 key 변수에 저장된 값입니다. 예를 들어, 만약 key 변수의 값이 "my_secret_key"라면, 객체는 {key: "my_secret_key"}가 됩니다.

{json: JSON.stringify({key: key})}: 즉, 이 구문은 또 다른 객체를 만듭니다. 이 객체는 json이라는 속성을 가지고 있으며, 그 값은 방금 생성한 JSON 문자열입니다. 즉, 이 객체는 {json: '{"key":"my_secret_key"}'}와 같은 형태가 됩니다.

//chat gpt

데이터 전송 형식 통일:
- 서버에서 특정 형식(JSON 문자열)의 데이터를 기대하고 있을 수 있다. PHP 코드에서는 $_POST['json']을 통해 JSON 데이터를 수신하고, 이를 json_decode로 디코딩하여 사용합니다. JSON.stringify를 사용하면 JavaScript 객체를 JSON 문자열로 변환하여 서버에 전달할 수 있습니다.
- 예를 들어, {key: key}라는 JavaScript 객체를 JSON.stringify를 통해 {"key": "some_value"}와 같은 JSON 문자열로 변환합니다.
객체를 문자열로 변환:
- AJAX 요청의 data 필드에 전달하는 값은 일반적으로 문자열이어야 합니다. JSON.stringify를 사용하면 JavaScript 객체를 JSON 문자열로 변환하여 AJAX 요청의 데이터로 적절하게 사용할 수 있습니다.

function submit(key){
	$.ajax({
		type : "POST",
		async : false,
		url : "./index.php",
		data : {json:JSON.stringify({key: key})},
		dataType : 'json'
	}).done(function(result){
		if (result['code'] == true) {
			document.write("Congratulations! flag is " + result['flag']);
		} else {
			alert("nope...");
		}
		lock = false;
	});
}

(2) 익스플로잇

결국 느슨한 비교를 통한 문자열 비교를 우회해야 하므로 key값을 문자열이 아닌 true 값으로 바꿔줄 것이다.

(수정하고 ctrl+s를 해줘야 반영이 된다.)

이때 한가지 궁금했던 것인 true 값으로 바뀌었을 때 "true"로 변하지 않을까 하는 것이었는데 다행히 플래그가 잘 출력이 되었다.

그 이유는 위 접은 글에 정리가 되어있다.