반응형 str_replace1 웹해킹(webhacking.kr) - 24번 안녕하세요?? 자운대 고라니입니다. 오늘은 wargame.kr old-24번 문제를 풀어보겠습니다. 문제에 들어가 보면 client ip, agent에 대한 정보가 나와있다. (개인 정보라서 가렸다.) 일단 뭔 문젠가 싶어서 view-source로 code를 확인하였다. 중요한 부분만 캡처하였다. 코드를 확인해보니 아마도 str_replace함수의 취약점을 활용하는 문제인 듯하다. 1. str_replace 취약점 str_replace()는 간단하게 우회 가능한 함수이다. 이게 무슨 함수인지 간단하게 예를 들어보겠다. ex) $a = "Hello my name is hack" $a = str_replace("Hello", "Hi", $a); echo "$a"; -> Hi my name is hack 이처.. 2020. 11. 21. 이전 1 다음 반응형
