링크를 타고 들어가보면 위와 같은 사진이 나온다 마법봉 ? magic ?이 생각난다. 코드를 한번 살펴보면 아래와 같다 1 2 3 4 5 6 7 8 9 10 11 12 Colored by Color Scripter cs 5번째 줄에서 input과 앞에 있는거의 해쉬를 비교하는데 php macig hash가 생각이 난다. 구글에 위와 같이 검색하고, 링크를 타고 들어가면 아래와 같은 숫자를 발견할 수 있다.. 이를 제출 하면? 위와 같이 flag를 획득 할 수 있다.

해당 문제를 들어가면 아래와 같은 코드가 나온다 PHP코드를 분석해서 guess 와 secretcode 를 같게 해주면 될 것 같다. 1 2 3 4 5 6 7 8 9 10 11 12 13 Colored by Color Scripter cs 5번줄을보면 secretcodee 는 filename에있는 값을 넣는데 filename을 get으로 변조 가능한 것을 볼 수 있다. 존재하지 않는 filename을 넣어주고, guess를 null로 세팅하면 둘이 같아지게 될 것이다.

링크로 들어가면 아래와 같은 화면을 확인할 수 있다. 버튼을 아무리 눌러도 반응이 없다. 버튼을 하여금 플래그를 출력하게 해줘라서 오지게 눌러보기도하고 별짓 다해봤다. 이렇게 바꿔주면 된다. 약간 게싱도 들어간거같다 웹해킹은 문제 자체에서 주는 힌트에 대한 글귀를 잘 읽어보는것도 굉장히 중요한것같다. 버튼을 누르면 실제 이렇게 확인할 수 있게된다.