Game/los

Lord of sql injection [17]

[문제 17]

문제를 보고 한 2분간 쳐다봤다.

전 문제와 다를게 없는데 뭐가 다르지...

자세히 보니 strrev라는 함수를 쓰는거..? 가 다른 점이랄까

알아보니 strrev라는 함수는 뒤집는 함수네요

입력받은 문자열을 뒤집어 리턴하는 함수...즉 ab를 입력하면 ba로 뒤집는거겠죠..

addslashes함수에 대해서는 아래 블로그를 참고해주세요.

확실히 뒤집어서 받긴 하네요.

아..그리고 addslashes함수때문에 백슬래쉬 하나를 입력해도 하나가 더 생기고 ' 도 \가 붙어서 출력되네요.

와 진짜 삽질 정말 많이 했어요.. 전 문제와 정말 비슷한것 같으면서도 계속 꺼꾸로 생각해야하고

생각하고 생각하다가 일단 id안에 있는 '싱글쿼터 하나를 문자로 인식해서 id가 닫히지 않게 해줘야겠다고 생각했습니다.

먼저 '가 먹히지만 \' 처리가 되고, 한번더 뒤집어서 출력되므로

결과적으론 싱글쿼터를 입력하면 '\ 가 출력됩니다.

싱글쿼터로 막는다면 ' '\ ' and pw = ...보이시나요 ?

입력한게 빨간색이라 하면, 원래 있던 뒤에 '는 문자 처리가 된다해도 앞에 한개가 더 생기게 되므로, 결과적으로

id ='' 하고 먼저 닫히게 됩니다. 즉 id를 참값으로 만들 수 없겠죠?

그렇다면 비슷하게 addslashes함수가 적용될 수 있는 다른 문자를 찾아보겠습니다.

싱글쿼터를 대신할 수 있는 "더블쿼터와, %00(null byte)를 알아낼 수 있습니다.

그럼 id에 두 문자를 입력해보고 pw는 아래와 같이 입력해줍니다.

# 1 = 1 ro 를 거꾸로 입력한 것이죠 --> or 1=1 #으로 나옴.

2. ?id=%00&&pw=%231=1%20ro

null byte를 이용해서 우회

더블쿼터 이용해서 우회하기

Clear

Contents