Day planner

• CTF || Wargame
• TryHackMe || HTB || 보안 기사 공부 ✅ 2025-07-16
• 보안 뉴스 || 보안 논문 읽기
• Algorithm || Python

Daily Log

공부 기록

TryHackMe

• IDOR
• File Inclusion

  ../../../../etc/passwd
  를 진행했는데, 여전히 include function에 .php 파일로 끝난다면
  NULL BYTE를 씀으로써 이를 우회할 수 있다. %00
../../../../etc/passwd%00
  Null Byte가 나오면 문자열을 마치기 때문에 이를 이용해서 뒷 내용을 무시할 수 있다
  URL encoding을 이용한 trick이므로 인코딩 되는 곳에서 입력해야 된다.
  PHP 5.3.4 이후 버전에서는 막혔다.

Trick 2
../../../../etc/passwd → you are not allowed to see source code
=> ../../../../etc/passwd/. → 다시 failed to open stream error 뜬다.