220320 [vishwa ctf] web - stock bot

처음 나가보는 ctf

 

 

선택한 첫번째 문제 카테고리는 웹해킹 분야

문제를 해석해보면 대충 재고가 얼마 남았는지 알려주는 스톡 봇이 있다고 한다.

​

링크를 타면 이런 화면이 나온다.

​

Monitor , CPU, Keyboard, Mouse 등의 제품 재고를 알려준다고 한다.

​

채팅 내용처럼 해당 재고를 알려준다. 보기에 없는 제품을 넣으면 그러한 제품은 없다고 한다.

​

 

이름을 넣어봄으로서 없는 사항을 입력하면 no such product라고 뜨는 것이 확실해졌음을 알 수 있다.

​

이외 다른 특별한 점이 없기에 개발자 도구로 소스코드를 살펴보았다.

스크립트의 상단에 보면 힌트가 적혀있다. 제품들과 동일하게 Flag 또한 Products 디렉토리에 존재한다고 한다.

소스 코드를 읽다보면 조금 하단에 '/Products/check.php?product='+msg 라고 적힌 부분을 볼 수 있다.

이걸 따라 /Products/check.php?product=CPU를 하면 cpu의 재고 값이, /Products/check.php?product=Monitor을 하면 모니터의 재고값을 알 수 있다는 것이라고 추측했다.

​

확인해보면,

​

​

실제로 그렇게 알 수 있음을 확인하였다.

아까 힌트에서 products 안에 flag값도 있다고 하였으므로

flag를 그대로 대입하면 플래그를 찾을 수 있다.