NGA

Los(8)

los.rubiya.kr/troll

문제를 살펴보면 $_GET['id'] 에 ' 가 필터링이 되어있고 ereg 라는 함수로 admin 이라는 값이 들어오면 HeHe 라고 출력을 하고 종료가 된다. ereg 함수는 패턴이 일치하는지 찾아주는 함수인데 대문자 구분을 하지않는다. ereg 앞에 붙은 @는 "error 를 출력하지 않겠다." 라는 표시이다. 풀이 select id from prob_troll where id='Admin' 끄읐
WARGAME/LOS 2018. 11. 15. 01:30

los.rubiya.kr/orge

문제를 보아하니 pw 를 추출해야하는 Blind SQL Injection 문제이다. 여기서 특별히 보이는 것은 addslashes 라는 함수인데 이 함수는 ' " \ 등의 문자에 \ 를 붙여 escape 해주는 함수이다. 이렇게 되면 우리는 ' " \ 와 같은 문자에 \' \" \\ 처럼 escape 가 된다. 하지만 문제상에서 addslashes 함수는 처음 Hello 결과 id 를 뽑은 후에 사용이 되니 그냥 공격을 해도 상관이 없을거 같다. 나중에 addslashes 함수를 만났을 때 우회하는 방법이 있는데 문자셋이 멀티바이트여야 가능한 우회방법이다. ' " \ 를 쓰기 전에 %a1 ~ %fe 중에 문자를 하나 넣어주면 %a1\ 가 합쳐져 이상한 문자가 되고 ' " \ 는 그대로 나오게 된다. 아 ..
WARGAME/LOS 2018. 11. 15. 01:17

los.rubiya.kr/darkelf

query 의 결과가 admin 이면 문제가 해결된다. $_GET['pw'] 에 필터로 or 과 and 가 필터링 되어있다. 이 문제 역시 or 과 and 를 안쓰고 풀이가 가능하지만 or 과 and 가 필요할 때를 위해서 알아보자. or => || and => && 풀이 select id from prob_darkelf where id='guest' and pw=''||id='admin'%23 select id from prob_darkelf where id='guest' and pw='' union select 'admin'%23 끝
WARGAME/LOS 2018. 11. 15. 00:46

los.rubiya.kr/wolfman

query 의 결과가 admin 이기만 하면 된다. $_GET['pw'] 에 whitespace 를 필터링 했지만 굳이 없어도 문제는 풀 수 있다. 하지만 필요할 경우를 대비해 알아보자 ^^ whitespace( ) 우회 방법 Line Feed %0a Carrage Return %0d Comment /**/ => 1/**/and/**/1 parentheses () (1)and(1) plus character + 사실상 whitespace 랑 똑같이 취급됨. Tab %09 풀이 select id from prob_wolfman where id='guest' and pw=''||id='admin'%23 select id from prob_wolfman where id='guest' and pw=''/**/o..
WARGAME/LOS 2018. 11. 15. 00:34

los.rubiya.kr/orc

이번 문제는 $_GET['pw'] 와 query 결과 pw 가 동일하면 문제가 해결된다. 즉 DB 안에 admin 의 pw 를 추출해야한다. 딱히 필터링이 없으니 바로 풀어보겠다. 우리가 이 문제에서 사용할 기법은 Blind SQL Injection 이다. 간단히 말하면 참과 거짓에 대한 응답을 통해 DB 에서 데이터를 추출해내는 기법이다. 참과 거짓 1=1 -> True 0=1 -> False 만약 pw 가 123 일 때 pw = 123 -> True pw = 12 -> False 이제 Blind SQL Injection 을 할 때 사용되는 함수를 사용해 보자면 // 길이 알아낼 때. length(pw) > 0 -> True// pw 의 길이가 0 보다 클 때. // 문자 추출 mid(pw,1,1) =..
WARGAME/LOS 2018. 11. 15. 00:12

los.rubiya.kr/goblin

이번 문제는 $_GET[no] 에 ', ", ` 등이 필터가 되어 있지만 쿼리를 보면 no 는 닫혀있지 않다. 그래서 쿼리 결과값이 admin 이 나오도록 만들면 해결할 수 있다. no 가 1 일 때에 결과값은 guest 이 나온다. 우리는 admin 이라는 값을 뽑아야 하고 DB 에 id 값들이 몇개가 있을지 모르므로 그냥 id='admin' 을 만들어 줄건데, $_GET[no] 를 통해서 id='admin' 이라는 값을 만들수 없음으로 admin 이라는 값을 Hex 값으로 넣어주거나 char 이라는 함수 안에 10진수로 변환해 넣어주면 MYSQL 에서는 문자열로 변환해주게 된다. where id='guest' and no=0 || id=0x61646d696e // 0x61646d696e -> admi..
WARGAME/LOS 2018. 11. 11. 02:40

los.rubiya.kr/cobolt

소스 코드를 살펴보면 $_GET[id], $_GET[pw] 에 딱히 필터링이 되어있지 않고 쿼리의 결과값이 admin 일때 문제가 해결이 된다. pw 를 입력하는 곳에는 md5 함수가 있긴 하지만 SQL Injection 을 하는데엔 지장이 없다. $_GET[id] -> Red$_GET[pw] -> Blue where id=''||1#' and pw=md5('') where id=''' and pw=md5('')||1#') 등 다양하게 공격이 가능하다. 끝!
WARGAME/LOS 2018. 11. 11. 02:02

los.rubiya.kr/gremlin

아주 기본적인 SQL Injection 문제로 쿼리문의 결과가 존제한다면 문제를 해결할 수 있다. $_GET[id] -> Red $_GET[pw] -> Blue where id=''||1#' and pw='' where id=''=''#' and pw='' where id=''='' and pw=''='' where id='' union select 1#' and pw='' where id='\' and pw=' or 1#' 등등 다양하게 참을 만들수 있는 쿼리는 많다. 참고로 $_GET 값을 통해 # 이나 & 등의 문자들은 %23, %26 과 같이 urlencoding 을 한후 넣어줘야 한다.
WARGAME/LOS 2018. 11. 11. 01:59
1

티스토리툴바