Challenge 48

문제 페이지를 보면 메모와 파일을 업로드할 수 있는 것을 볼 수 있다.

위와 같이 메모와 함께 파일을 업로드해보면 아래와 같이 파일명이 3글자 이상 안된다는 것을 알 수 있다.

파일명을 123으로 해서 내용은 test 로 올려보면 아래와 같이 메모와 파일이 업로드되어 올라간 것을 볼 수 있다.

실제로 업로드된 파일에 접근해보면 내용이 null 로 변경이 되는 것을 알 수 있다.

삭제를 해보면 mode=del 과 time=1440951597 값이 전달이 되면서 메모와 업로드된 파일이 삭제되는 것을 확인할 수 있다.

구조는 알 수 없지만 파일명이 3글자로 제한되어 있다는 점과 삭제를 할 때 time 값을 토대로 데이터베이스에서 비교를 통해서 메모와 파일이 삭제되는 것이라 생각할 수 있다. 그리고 삭제를 할 때에 system() 함수와 같이 파일명을 입력 받아서 삭제하는 방식이라 가정을 하고 아래와 같이 파일명을 ;ls 로 해서 업로드 해보았다.

그 결과, ;(semi colon)에 의해서 파일은 삭제되고 뒤에 있는 ls 명령어가 실행이 되어 아래와 같이 내용이 출력된 것을 볼 수 있다.

그리고 출력된 내용을 보면 zwritter_admin.php 로 의심가는 파일을 볼 수 있는데, 해당 파일에 접근해보면 문제를 풀 수 있다.