https://www.root-me.org/en/Challenges/Web-Server/File-upload-Double-extensions
카테고리 목록을 하나씩 눌러보면 각 이름에 맞는 기능을 하고 있다.
형식이 gif, jpeg, png만 된다는 것을 알 수 있다.
분명 파일을 php 확장자를 이용해 password를 찾아냐 하는데, 사진 확장자를 이용해야한다는 것에 의문을 품었다.
알고보니 이중 확장자를 쓰면 우회할 수 있다고한다.
임시 파일로 text.php.png를 만들어준다.
해준 후 이름 뒤에 png를 붙여준다.
업로드 해서 주소로 들어가보면 이렇게 뜬다. 상위폴더인 password 파일로 가기 위해서 ?cmd=ls -al ../ 을 해주면서 찾아본다.
3번하면 passwd가 나온다. 상위 경로를 파악하고
?cmd=cd ../../../; cat .passwd '또는' ?cmd=cat ../../../ .passwd
완성.
前) SWLUG 27기