ROOTME] PHP - Loose Comparison

노션으로 옮김·2020년 3월 7일
CTFvulnerabilityweb
0

wargame

목록 보기
12/59
post-thumbnail

선행지식

PHP loose comparison - Type Juggling - OWASP를 보며 내용을 정리하겠다.

타입 저글링이란?

PHP에서는 두 가지의 비교모드가 존재한다.

Has two main comparison modes, lets call them loose (==)
and strict (===)

여기서 loose 비교의 특성을 이용한 우회방법이다.

비교연산표를 보면

strict는 자료형과 value가 모두 일치해야 TRUE를 반환하지만

loose는 value만 일치해도 TRUE를 반환한다.

또한,

▪ TRUE: "0000" == int(0)
▪ TRUE: "0e12" == int(0) //0e이후의 숫자는 모두 정수
▪ TRUE: "1abc" == int(1)
▪ TRUE: "0abc" == int(0)
▪ TRUE: "abc" == int(0) // !!
▪ TRUE: "0xF" == "15"

위의 경우에도 TRUE를 반환한다.

문제

소스를 먼저 보자


Unbreakable Random
seed
  
hash
 
 
<html>
<body>
 <form action="index.php" class="authform" method="post" accept-charset="utf-8">
        <fieldset>
            <legend>Unbreakable Random</legend>
            <input type="text" id="s" name="s" value="" placeholder="seed" />
            <input type="text" id="h" name="h" value="" placeholder="hash" />
            <input type="submit" name="submit" value="Check" />

        <div class="return-value" style="padding: 10px 0">&nbsp;</div>
        </fieldset>
        </form>
<?php
function gen_secured_random() { // cause random is the way
    $a = rand(1337,2600)*42;
    $b = rand(1879,1955)*42;

    $a < $b ? $a ^= $b ^= $a ^= $b : $a = $b;

    return $a+$b;
}

function secured_hash_function($plain) { // cause md5 is the best hash ever
    $secured_plain = sanitize_user_input($plain);
    return md5($secured_plain);
}

function sanitize_user_input($input) { // cause someone told me to never trust user input
    $re = '/[^a-zA-Z0-9]/';
    $secured_input = preg_replace($re, "", $input);
    return $secured_input;
}

if (isset($_GET['source'])) {
    show_source(__FILE__);
    die();
}


require_once "secret.php";

if (isset($_POST['s']) && isset($_POST['h'])) {
    $s = sanitize_user_input($_POST['s']);
    $h = secured_hash_function($_POST['h']);
    $r = gen_secured_random();
    if($s != false && $h != false) {
        if($s.$r == $h) {
            print "Well done! Here is your flag: ".$flag;
        }
        else {
            print "Fail...";
        }
    }
    else {
        print "<p>Hum ...</p>";
    }
}
?>
<p><em><a href="index.php?source">source code</a></em></p>
</body>
</html>

$s.$r$h가 비교되는데
$s는 내가 입력한 값
$r은 랜덤의 숫자
$h는 내가 입력한 값을 md5해쉬한 결과값이다.

풀이

loose comparison이므로 타입 저글링을 이용하여 비교문을 우회해야 한다.
먼저 md5(X)=0e숫자숫자숫자가 되는 값을 찾고
$s를 마찬가지로 0e를 전달하게 되면
비교루틴은 0 == 0과 같아지고 우회가 성공한다.

profile
노션으로 옮김
이전 포스트

ROOTME] Local File Inclusion - Double encoding

다음 포스트

ROOTME] preg_replace()

0개의 댓글