본문 바로가기
Wargame Write-Up/HackCTF

[HackCTF] (Web) Input Check 풀이

by snwo 2020. 3. 13.

문제접속화면이다. flag 명령어를 입력하라 한다.

입력했다.

;;; 아무거나쳐도 이렇게나오니

소스를 봐야겠다.

<!DOCTYPE html>
<html>
<head>
<title> H-i </title>
<meta charset="utf-8">
</head>
<body>
<h5> Input Check </h5>
<p> Do you want a flag? Input Command "flag" here </p>
<form action="" method="get">
<input type="text" name="text" placeholer="Input">
<br><br>
<button type="submit">OK</button>
<!-- Hint : Input Command Check is Array Type ~ ~ -->
</form>
</body>
</html>

 

get 으로 text를 입력받고있고, Input Command Check 는 배열이라고한다.

strcmp 로 비교하는걸 추측할 수 있다!

$a=get['text']
if(strcmp("flag",$a)==0)

다음과 같은 예시코드를 작성해봤다.

strcmp에서 문자열배열을 비교시 NULL을 반환한다.

NULL == 0 으로 느슨한 비교를할떄 True 가 반환된다.

 

따라서 우리는 ?text[0]=flag 로 값을 넘겨줌으로써 FLAG 를 확인할 수 있다

 

관련글

티스토리툴바