[Dreamhack/드림핵] php7cmp4re

---

 

1. 문제 웹 페이지

 

 

 

 

처음으로 나오는 페이지는, input1과 input2를 입력하여 제출할 수 있도록 구성되어 있다.

 

이 페이지 이외에 다른 페이지는 없다.

 

 

 

input1과 input2에 각각 1을 입력하고 제출 버튼을 눌러보았다.

 

 

 

 

/check.php 페이지로 이동하게 되면서,

"Try again"이라는 문구가 쓰여진 웹페이지가 나온다.

 

 

 

처음 페이지 (입력 페이지)

 

입력 결과가 출력되는 웹페이지

 

두 페이지 모두 소스 코드에서 특이점을 찾을 수 없었다.

 

 

 

2. 다운로드 문제 파일

 

 

 

다운받은 zip 파일 안에는 3개의 php 파일이 있다.

 

 

⭐ check.php

<html>
<head>
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.2/css/bootstrap.min.css">
<title>php7cmp4re</title>
</head>
<body>
    <!-- Fixed navbar -->
    <nav class="navbar navbar-default navbar-fixed-top">
      <div class="container">
        <div class="navbar-header">
          <a class="navbar-brand" href="/">php7cmp4re</a>
        </div>
        <div id="navbar">
          <ul class="nav navbar-nav">
            <li><a href="/">Index page</a></li>
          </ul>
        </div><!--/.nav-collapse -->
      </div>
    </nav>
    <div class="container">
    <?php
    require_once('flag.php');
    error_reporting(0);
    // POST request
    if ($_SERVER["REQUEST_METHOD"] == "POST") {
      $input_1 = $_POST["input1"] ? $_POST["input1"] : "";
      $input_2 = $_POST["input2"] ? $_POST["input2"] : "";
      sleep(1);

      if($input_1 != "" && $input_2 != ""){
        if(strlen($input_1) < 4){
          if($input_1 < "8" && $input_1 < "7.A" && $input_1 > "7.9"){
            if(strlen($input_2) < 3 && strlen($input_2) > 1){
              if($input_2 < 74 && $input_2 > "74"){
                echo "</br></br></br><pre>FLAG\n";
                echo $flag;
                echo "</pre>";
              } else echo "<br><br><br><h4>Good try.</h4>";
            } else echo "<br><br><br><h4>Good try.</h4><br>";
          } else echo "<br><br><br><h4>Try again.</h4><br>";
        } else echo "<br><br><br><h4>Try again.</h4><br>";
      } else{
        echo '<br><br><br><h4>Fill the input box.</h4>';
      }
    } else echo "<br><br><br><h3>WHat??!</h3>";
    ?> 
    </div> 
</body>
</html>

 

check.php 파일에 내가 웹 페이지에 입력한 값(input1, input2)을 처리하는 로직이 적혀있었다.

 

 

 

 

if($input_1 != "" && $input_2 != ""){
        if(strlen($input_1) < 4){
          if($input_1 < "8" && $input_1 < "7.A" && $input_1 > "7.9"){
            if(strlen($input_2) < 3 && strlen($input_2) > 1){
              if($input_2 < 74 && $input_2 > "74"){
                echo "</br></br></br><pre>FLAG\n";
                echo $flag;
                echo "</pre>";
              } else echo "<br><br><br><h4>Good try.</h4>";
            } else echo "<br><br><br><h4>Good try.</h4><br>";
          } else echo "<br><br><br><h4>Try again.</h4><br>";
        } else echo "<br><br><br><h4>Try again.</h4><br>";
      } else{
        echo '<br><br><br><h4>Fill the input box.</h4>';
      }
    } else echo "<br><br><br><h3>WHat??!</h3>";

 

특히 이 부분을 보면 input1, input2 값을 입력했을 때 FLAG 값이 나오는 조건에 대해 알 수 있다.

 

FLAG 값을 출력하려면,

 

1. $input_1의 길이가 4보다 작아야 한다.
2. $input_1이 "8"보다 작고, "7.A"보다 작으면서 "7.9"보다 커야 한다.
3. $input_2의 길이가 3보다 작고, 1보다 커야 한다.
4. $input_2가 74보다 작고, "74"보다 커야 한다.

 

 

이 조건들 중에서 2번과 4번이 이해가 되지 않았다.

2번에서는 "7.A"가 정확히 어떤 값을 의미하는지 몰랐고,

4번에서는 74보다 작고, "74"보다 커야 한다는 말을 이해를 못 했다.

 

 

여기서부터는 구글링을 하며 문제를 풀이했다.

 

 

---

 

이 문제는 php가 ascii를 기반으로 문자열을 비교한다는 개념을 이용하여야 한다.

예를 들어, 0123456789abcdefghigklmnopqrstuvwxyz... 순서로 비교가 된다고 한다.

 

 

아스키코드 변환 표

 

 

 

 

 

ascii 코드를 기반해서 문자열의 대소비교를 하게 되면,

" 2. $input_1이 "8"보다 작고, "7.A"보다 작으면서 "7.9"보다 커야 한다." --> 이 조건을 해석할 수 있게 된다.

 

7.9 < input_1 < 7.A를 만족하는 input_1의 값은

7.:, 7.;, 7.<, 7.=, ..., 7.@ 가 될 수 있는 것이다.

 

 

 

"4. $input_2가 74보다 작고, "74"보다 커야 한다."를 해석하자면,

문자열 "74"가 ascii 코드를 기반하여 십진수 변환하면 숫자 5552가 되는 것을 알 수 있다.

 

 

 

 

다시 조건을 복기하자면,

 

1. $input_1의 길이가 4보다 작아야 한다.
2. $input_1이 "8"보다 작고, "7.A"보다 작으면서 "7.9"보다 커야 한다.
3. $input_2의 길이가 3보다 작고, 1보다 커야 한다.
4. $input_2가 74보다 작고, "74"보다 커야 한다.

 

 

이었는데,

 

input_1이 될 수 있는 입력값은: [길이가 4보다 작아야 함] + [7.:과 7.@를 포함하는 사잇값]

input_2이 될 수 있는 입력값은: [길이가 1보다 크고 3보다 작아야 함] + [74보다 작고 5552보다 커야 한다]

 

위의 조건에 따라 input_1에 7.:

input_2에 :: 를 넣어서 풀어보았다.

 

 

 

플래그를 확인할 수 있었다.

 

 

 

정답!

 

---

 

참고

 

https://blog.naver.com/dlrkdtks135790/223403452549

https://blog.naver.com/d0r1m4nsblog/223352197088