[web hacking] strcmp 풀이

문제 소개

https://dreamhack.io/wargame/challenges/328/

[wargame.kr] strcmp

wargame.kr 사이트에 있던 문제입니다.

 

strcmp 함수

strcmp(string $string1, string $string2): int

문자열 두 개를 비교하는 함수입니다.

string1이 string2보다 작으면 -1을, 크다면 1을, 같다면 0을 반환합니다.

 

코드 분석

<?php
    require("./lib.php"); // for FLAG

    $password = sha1(md5(rand().rand().rand()).rand());

    if (isset($_GET['view-source'])) {
        show_source(__FILE__);
        exit();
    }else if(isset($_POST['password'])){
        sleep(1); // do not brute force!
        if (strcmp($_POST['password'], $password) == 0) {
            echo "Congratulations! Flag is <b>" . $FLAG ."</b>";
            exit();
        } else {
            echo "Wrong password..";
        }
    }

?>
<br />
<br />
<form method="POST">
    password : <input type="text" name="password" /> <input type="submit" value="chk">
</form>
<br />
<a href="?view-source">view-source</a>

소스코드를 살펴보면 3번째 줄에 password가 rand함수, md5 암호화, sha-1 암호화 과정을 거쳐 만들어진 것을 볼 수 있습니다.

그리고 10번 줄에서 사용자가 입력한 password가 암호화를 통해 생성한 password와 일치하는지 비교하고 있습니다.

일반적으로는 두 문자열이 같을 때 flag값을 얻어낼 수 있겠지만, rand함수는 시드에 따라 값이 변하기 때문에 유추해 낼 수 없습니다.

 

해결법

저희는 php5의 strcmp 함수에 있는 취약점을 이용할 것입니다.

기본적으로 두 문자열을 비교하는 함수이지만, strcmp(string, array) 이런 식으로 배열을 전달하게 되면, null을 리턴하게 됩니다.

또한 php의 == 비교 연산자를 살펴보면, 아래 자료와 같이 null과 0을 비교할 때 true를 반환하게 되어있습니다.

 

따라서 우리는 post 방식으로 password를 전달할 때, 문자열이 아닌 배열로 전달하면 될 것입니다.

 

<!--
<form method="POST">
	password : <input type="text" name="password"> <input type="submit" value="chk">
</form>
-->

<form method="POST">
	password : <input type="text" name="password[]"> <input type="submit" value="chk">
</form>

여기서 name="password"를 다음과 같이 name="password[]" 로 변경하고 아무 password나 입력한 후 submit을 하면,

post 방식으로 배열이 전달되어 flag 값을 취득할 수 있습니다.

 

취약점 보완법

strcmp 함수의 결과로 null이 나올 수 있으므로, 비교 연산자를 == 을 사용하는 것이 아닌, ===을 사용하게 되면,

null === 0 -> false 결과를 반환하기 때문에, 취약점을 보완할 수 있습니다.