[webhacking.kr] Level 24

[webhacking.kr] Level 24

문제에 들어가니 IP주소가 써있고 기타 정보들, 그리고 Wrong IP라는 message를 볼 수 있었다.

대충 이러한 정보들을 보고 소스코드를 보기로 했다.

이번 소스에서는 모르는 함수와 모르는 변수들이 좀 있었다.

어떻게 풀어야될지 알려면 함수와 변수들이 필요할 것 같아 찾아보았다.

extract 함수는 배열에서 현재 심볼 테이블로 변수를 가져오는 것이라고 설명되어 있었다.

$_SERVER는 기본적으로 있는 변수로 안에 여러가지 정보들이 저장되는 것 같았다.

$_SERVER를 변수화 시키기 위해 extract를 쓰는 것 같았다.

그 이후 REMOTE_ADDR이 없다면 SERVER의 REMOTE_ADDR을 넣어주고 이 값을 ip에 넣어주고, 정보를 agent에 넣어주는 형식으로 되어있다.

그런데 그 밑에 if문을 통해 위에 내용이 필요 없다는 사실을 알게 되었다.

단순히 REMOTE_ADDR이라는 쿠키가 설정되어 있으면 ip를 바꿀 수 있다는 것을 알게 되었고

여러 가지 우회 필터링이 있지만 어렵지 않다고 생각했다.

먼저 쿠키로 ip가 바뀌는 것을 확인하기 위해 필터링을 생각하지 않고 127.0.0.1을 넣어보았고

화면에서 ip주소가 바뀌는 것을 볼 수 있었다.

그 이후에는 필터링을 우회하여 정답을 얻어낼 수 있었다.

**************     Answer & Flag     **************

() 필터링

1(12)27(7.).0(0.).0(0.).1

이러한 방식으로 간단히 필터링을 우회할 수 있었다.