웹사이트 접속하면 아래와 같은 화면이 나온다.
사이트 내부에 특별한 기능이 있는 걸로 보이진 않는다.
문제 파일을 다운로드해서 코드를 먼저 살펴보았다.
총 네 개의 파일이 있고, config라는 폴더 내에는 haproxy.cfg라는 파일 한 개가 존재한다.
main.py를 열어봤다.
15번째 라인을 보면, /flag 경로로 접속했을 때 flag 값을 얻을 수 있다는 걸 확인할 수 있다.
해당 문제는 url를 직접 수정하여, /flag로 접속해 flag 값을 얻어야 하는 방식인 듯하다.
다음으로 haproxy.cfg를 열어 봤다.
10번째, 11번째 라인을 보면 /flag 혹은 //로 요청했을 시 거부한다는?.. 내용인 걸 알 수 있다.
main.py에서는 /flag 경로로 접속했을 때 flag 값을 얻을 수 있다고 했는데,
그렇게 접속하면 거부당할 것이므로... 우회하는 방법이 필요할 것 같다.
/flag를 변환하여 url을 작성해보겠다.
url 변조를 위한 사이트(https://dencode.com/)를 활용하였다.
url encoding 값을 확인해 보면 '%2Fflag'라는 값으로 우회가 가능하다고 한다.
이를 활용해 url을 작성해 본다.
플래그를 획득했다.
'SWUFORCE > 워게임 풀이' 카테고리의 다른 글
| [H4CKING GAME] Season1 : Real PHP LFI (Web) (0) | 2025.01.21 |
|---|---|
| [H4CKING GAME] Hello,Postman (Cryptography) (0) | 2024.11.26 |
| [H4CKING GAME] Keygen (rev) (1) | 2024.11.26 |
| [H4CKING GAME] Season1 : art (Forensics) (0) | 2024.11.19 |
| [H4CKING GAME] Season1 : CODE (Forensics) (0) | 2024.11.19 |