KnightCTF 2022 Zero is not the limit write-up

문제 첫 화면이다. json 형식으로 유저들의 정보가 나와있다. 너무 밑도 끝도 없다.
힌트에는 /user/를 벗어나라?라고 되어있다. path traversal 문제라고 생각해서 별걸 다했다.

이렇게 입력하니 id에 해당하는 정보가 보여진다.

import base64
import requests

url='http://198.211.115.81:5001/user/'

for i in range(1000):
    num = str(i)
    url2 = url+num
    res = requests.get(url=url2)
    
    if 'id' in res.text:
        print(res.text)

페이로드를 작성해서 1000번까지 뒤졌지만 아무것도 나오지 않았다.
생각보다 정말 많이 헤맸다. 정말로...
10000000000000000000000000000000000000도 넣어봤고 -0000000000000000000000000000도 넣어보고 별짓 다했지만 답은 -1이었다.

... 문제가 너무 별루다

solved!

Author And Source

이 문제에 관하여(KnightCTF 2022 Zero is not the limit write-up), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://velog.io/@whtmdgus56/KnightCTF-2022-Zero-is-not-the-limit-write-up

저자 귀속: 원작자 정보가 원작자 URL에 포함되어 있으며 저작권은 원작자 소유입니다.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다