끄적끄적 끄적끄적

hell_fire 문제와 비슷한 것 같지만... preg_match 함수의 필터링 목록에 sleep까지 포함되어 있어서 시간 기반 Blind SQL 인젝션을 사용할 수 없다. 일단 테이블에 뭐가 있는지 알아보기 위해 order에 1을 넣어보았다. hell_fire에서 admin의 score이 200이었던 것에 반해, 이번에는 admin의 score이 50이었다. 즉, id로 정렬하든 score로 정렬하든 똑같은 결과가 나온다. 그래서 이번에도 if문을 사용하여, 조건문이 참이면 score로 정렬하고, 거짓이면 출력이 되지 않게끔 아래와 같이 설정했다. ?order=if(id='admin' and length(email)>0,score,2000) 그런데 의도와는 달리 조건문이 거짓일 때 테이블이 아예 출력..

이번에는 쿼리문 상단에 id, email, score 3개의 컬럼으로 이루어진 테이블이 존재한다. 또한 제시된 쿼리문은 order by 구문을 통해 순서대로 정렬된 테이블을 반환한다. 만약 id가 admin이면 email은 *로 표시되는데, 이 email을 알아내는 것이 이 문제의 최종 목표이다. 일단은 테이블에 뭐가 있는지 확인하려고 order에 1을 넣어봤다. 그랬더니 아래처럼 2개의 row가 출력되었는데, admin의 email만 *로 표시된 채로 나타나지 않았다. order by 절을 어떻게 조작할지 고민했는데, 처음에는 order by 절에도 서브 쿼리를 넣을 수 있고, 2개 이상의 row를 반환하면 에러가 발생한다는 것을 알고 이를 이용해 에러 기반 Blind SQL 인젝션으로 문제를 풀려고 ..

iron_golem 문제와 같은 에러 기반 Blind SQL 인젝션이다. 그러나 iron_golem과 달리, if문과 case, when 구문이 필터링 목록에 포함되어 있고, 에러가 발생하면 아무런 에러 문구도 출력하지 않는다. iron_golem에서는 if문을 사용하여 pw를 알아냈지만, dark_eyes에서는 이 방법을 사용할 수 없기 때문에, 이를 우회할 수 있는 coalesce 함수를 사용하였다. coalesce 함수의 형식은 다음과 같다. coalesce((리턴값), 변환값) 만약 리턴값이 NULL이면 변환값을 반환해준다. 예를 들어서 아래와 같은 쿼리문이 있다고 가정하자. SELECT id FROM table WHERE 2=coalesce((select id from table where 1=..

또 Blind SQL 인젝션 문제다... 이번 문제에서는 이전 문제에서처럼 쿼리문이 맞았을 때 Hello admin과 같은 문구가 뜨지 않는다. 즉, 쿼리문의 참/거짓 여부를 알 수가 없다. 이런 경우 웹 요청에 대한 응답 시간의 차이를 이용하여 pw를 찾아야 하는데... 문제는 이러한 방법에 사용되는 sleep과 benchmark 함수가 필터링 목록에 있기 때문에 이것도 사용할 수가 없다. 그런데 코드를 자세히 보면 쿼리문에 에러가 발생할 경우 에러를 출력해주고 exit한다는 것을 알 수 있다. 즉 이 문제에서는 에러의 발생 여부만 알 수 있다. 따라서 에러가 발생하지 않으면 참이고, 발생하면 거짓이라고 판별할 수 있도록 쿼리문을 짜면 pw에 대한 정보를 알아낼 수 있을 것이다. 이를 위해서는 쿼리문에..

id='guest' 다음에 #이 있어서, and pw='~ 부분이 주석으로 처리되었다. 이 주석 처리를 피해서 id를 admin으로 바꾸면 문제가 풀릴 것이다. #은 한 줄만 주석 처리되기 때문에, 쿼리문이 멀티 라인으로 이루어진 경우에 첫 줄에 #이 있으면 그 첫 줄만 주석 처리되고 나머지 두 줄은 주석으로 처리되지 않는다. 따라서, pw 인자 부분에 개행 문자(\n, %0a)를 넣어준 다음에 원하는 쿼리문을 작성한다면, select id from prob_dragon where id='guest'# and pw='%0a or id='admin' # and pw=' 부분까지만 주석으로 처리되고 이 뒤의 문자열들은 모두 쿼리문으로 인식될 것이다. 그래서 위와 같이 쿼리문을 작성하여 pw의 인자를 넘겨주었..

pw에 괄호, LIKE, regex가 필터링이 걸려있다. 또한 id는 admin으로 고정되어 있고, 이 admin에 대한 pw를 알아내면 문제가 해결된다. 먼저 pw의 길이를 length 함수를 통해 찾아본 결과, pw의 길이는 12였다. ?pw=' or length(pw)=12%23 평소 Blind SQL 인젝션 문제를 풀던 것처럼 ascii 함수와 substr 함수를 사용하여 pw를 구하려고 했으나, 아무리 프로그램을 돌려도 pw가 출력되지 않았다. 알파벳이나 숫자가 아닌 다른 문자인가 싶어서 0~9, a~z 범위 외의 다른 범위의 아스키코드 값으로도 찾아보았지만 나오지 않았다. 아무래도 알파벳, 숫자가 아닌 특수 문자가 사용된 것 같아서 pw를 hex로 변환한 값으로 비교해보았다. 먼저 hex로 변..

주석 처리에 사용되는 --와 #이 모두 필터링 목록에 포함되어 있다. 괄호 역시 필터링 대상인데, 특이한 것은 ()만 필터링되고 (나 )를 따로 사용하는 것은 필터링이 되지 않는다는 점이다. 또한 pw의 길이가 6보다 크면 No Hack 문구가 출력된다. 길이 제한이 있기 때문에 or 1=1과 같은 인증 우회는 사용이 불가능하다. 따라서 길이 제한을 피하고 쿼리문이 참이 되게 하려면 pw가 참이 되도록 만드는 수밖에 없다. SQL에서 문자열을 숫자와 비교할 때, 숫자 없이 문자로만 이루어진 문자열은 0으로 자동 형변환된다. 또한 select id from table where pw=1=1와 같이 쿼리문을 작성하면, 1=1은 참이므로 전체 쿼리문은 참이 되어 정상적으로 실행된다. 이러한 점들을 이용하여, ..

id와 pw에 addslashes 함수와 strrev 함수가 사용되었다. addslashes 함수는 싱글 쿼터('), 더블 쿼터("), 백슬래시(\), NULL 문자를 이스케이핑해주는 함수이고, strrev 함수는 인자로 받은 문자열을 순서를 뒤집은 상태로 반환하는 함수이다. ex) strrev("abcdefg"): gfedcba strrev 함수로 인해 GET 방식으로 전달된 id와 pw는 아래와 같이 변환된다. id=admin&pw=12 또한 addslashes 함수로 인해 싱글쿼터(')나 더블쿼터(')는 이스케이핑되어 앞에 백슬래시(\)가 추가되고, strrev 함수에 의해 순서가 뒤집힌다. 따라서 싱글쿼터(')를 인자로 주면 addslashes에 의해 \'가 되고, strrev 함수에 의해 '\가..