팥들었슈

로그인 결과

request 및 response 분석

reponse 분석 중 a태그가 주석 처리되었고 url이 확인가능..

url을 접속

1.웹 셸 업로드 

게시판에서 웹 셸을 올리는데 php는 필터링이 되어 png파일 내부에 스크립트를 작성하여 업로드

2. 파일 업로드 경로 찾기

경로는 파라미터가 "/사용자id/파일이름" 형태로 보이는데 두가지 케이스가 있을 듯

1. 경로 그대로 사용
2. back단에서 앞의 prefix를 추가하여 사용

위의 주석을보니 ./files/12 라는 것을 확인 files/12로 들어가보자

ps. 주석이 없다면 어떻게 찾아야하지?????

 -> 파일이 다운로드가 가능하다면 path traversal로 다운로드하는 소스를 확인 해보자 다운로드 소스에는 prefix를 찾을 수 있을 것이다.

3. 웹 셸 실행

업로드한 png 파일을 실행하기 위해 .htaccess 파일을 업로드 후 게시판에서 .htaccess를다운로드해보자.

정상적으로 업로드 확인 뒤 /files/12/shell.png를 접속해보

4. flag 찾기

"grep -r segfault{ ../"로 경로를 올라가며 플래그 찾기

여기서 끝내도 되지만 해당 index 파일을 다운받아보자.

"cp ../../index.php ./index.txt"로 해당 파일을 내 다운로드 디렉토리로 이동

게시판의 다운로드에서 파일명을 변경하여 다운로

download.php를 받아보니 path traversal을 방지하기위해 "../" replace 하고 있었다.

1. 웹 셸 업로드 

이미지 파일 업로드를 진행 후 버프 수트로 해당 request를 변조

확장자가 php인것을 업로드를 못하기 때문에 pHp로 변경

pHp여도 파일이 업로드가 안되어서 png의 시그니처를 사용하기 위해 내부 값에 php코드를 삽입

2. 웹 셸 동작 확인하기

/webshell_3/webshell_3/files/123/ 경로에 파일 업로드 확인

/webshell_3/webshell_3/files/123/webshell.pHp 요청 하기

인삿말 페이지를 확인해보니 특정 php를 사용하는 것을 확인

해당 php 대신 업로드한 웹 셸을 include할 수 있을 듯함.

경로는 /webshell_3/webshell_3/ 이므로 ./files/123/webshell2.pHp요청

webshell_3/ webshell_3/lang위치에 각 언어별 php들이 있었음.

ls로 해당 경로의 파일들을 보니 topScret 디렉토리가 보임

1. 웹 셸 코드 작성

<?php
echo system($_GET['cmd']);           
?>

2. 파일 업로드

2-2. 분석

http response 분석 결과 확장자 구분의 내용이 front 의 스크립트에서 필터링 되는 것을 확인

response를 intercept하여 script를 제거 

2-3 파일 재업로드 

그런데??? index가 풀려있다?

3. 파일 경로찾기

4. find 파일 찾기

5. 파일 조회하기