server { listen 8080 default_server; server_name nginx; location / { set $args "${args}&proxy=nginx"; proxy_pass http://web:3000; } }#default.conf const app = require("express")(); const FLAG = process.env.FLAG ?? "SECCON{dummy}"; const PORT = 3000; app.get("/", (req, res) => { req.query.proxy.includes("nginx") ? res.status(400).send("Access here directly, not via nginx :(") : res.send(`Congratz..

대회가 끝나고 적는 라이트업이라 서버가 내려가서 정확한 문제 이름 하고 사이트 사진이 없다. 양해바람.. 사이트 들어가면 나루토 사진이 있길래 그냥 기억나는대로 아무거나 썻다 $flag=getenv("FLAG"); if ($_SERVER['REQUEST_METHOD'] === 'POST') { if(isset($_POST["email"])&&isset($_POST["pass"])){ if($_POST["email"]==="admin@naruto.com"){ $x=$_POST["test"]; $inp=preg_replace("/[^A-Za-z0-9$]/","",$_POST["pass"]); if($inp==="SuperSecRetPassw0rd"){ die("Hacking Attempt detected")..

6) exit("No Hack ~_~"); $query = "select id from prob_nightmare where pw=('{$_GET[pw]}') and id!='admin'"; echo "query : {$query}"; $result = @mysqli_fetch_array(mysqli_query($db,$query)); if($result['id']) solve("nightmare"); highlight_file(__FILE__); ?>#주석을 이용하지 못한다.따라서 다른 방법을 이용해서 우회해야한다. 바로 ;%00이다. %00은 NULL이지만 앞에 세미콜론이 붙으면 주석역할을 한다. 따라서  ?pw=%27)=0;%00를 입력하면 해결된다.

query : {$query}"; $result = @mysqli_fetch_array(mysqli_query($db,$query)); if($result['id']) solve("zombie_assassin"); highlight_file(__FILE__); ?>17번 좀비 어세신 문제이다. get으로 요청받는 부분을 보면 id와 pw 모두 addslashes함수로 처리된 후 strrev로 인해 문자열이 뒤집힌다.https://www.php.net/manual/en/function.addslashes.php single quote (')double quote (")backslash (\)NUL (the NUL byte)이 4가지 앞에 슬래쉬가 붙는다고 생각하면 쉽다.. 페이로드를 어떻게 구성..

query : {$query}"; $result = @mysqli_fetch_array(mysqli_query($db,$query)); if($result['id']) solve("succubus"); highlight_file(__FILE__); ?>소스가 주어진다. 하지만 preg_match에서 싱글쿼터를 제한 하고 있다. 따라서 이를 우회하는 방법을 찾아내야한다.  바로 \ 이다 \를 사용하면 select id from prob_succubus where id='haha\'and pw='hello' 빨간 부분을 문자열로 처리해주기 때문에,id 부분의 싱글쿼터에서 나오게 되고 따라서 pw에 쿼리를 적으면 우회가 가능하다  select id from prob_succubus where id=..

보호되어 있는 글입니다.