[old-02] Webhacking.kr

[old -02 문제풀이]

 

 

원래 old-38번이 갑자기 풀고 싶어서 시도 했는데, 

버프슈트를 사용해서 하려고 하자마자 (프록시 키고) 구글에서 연결차단? 이 되었는지 자꾸 에러가 떠서

 

일단 넘어가고 2번을 풀어보겠다..;;

 

---

 

2번 문제 풀이

 

 

 

첫 페이지는 아무것도 없다...

소스 코드를 살펴보자. 

 

 

 

음.. 아직 무슨말인지 잘모르겠으니 눈에 보이는 admin.php 로 가보자.

 

 

 

password를 입력하면 clear같은데 더이상에 힌트는 없었다.

 

소스를 살펴봐도 별 힌트가 없어서 쿠키를 확인해봤다.

 

 

 

time이라는 쿠키가 생성되어있다. 무언가 힌트인듯 해서 1을 넣고 저장 후 살펴보았다.

 

아무 변화가 없어서 전에 소스 코드로 돌아갔다.

 

 

 

 

주석처리 되어있는 시간에 변화가 생겼다. 맨 뒷 자리가 입력한 값 1 로 변했다.

 

 

쿠키 값에 2를 넣어봤다.

 

 

 

 

2로 변한다.

 

그렇다면 0을 넣어보자.

 

 

 

 

다 사라지고, 쿠키 값도 초기화 되었다.

 

 

 

 

거짓 값을 주었더니,

 

 

 

 

9 : 00 : 00 이 출력된다. --> 거짓의 값 알았음.

 

참인 경우 참의 해당하는 값을 보여주고, 거짓의 경우 0을 준다. 

아예 0을 입력시 모든 값은 초기화된다.

 

 

0 = 거짓 --> 0입력시 모든 값이 초기화됨.
자연수 = 참 --> 입력시 초 부분이 입력한 값으로 바뀜. 

이건 blind sql injection이라고 예측 할 수 있음. (처음 보는 유형이라 많이 헤맸다)

 

db이름은 굳이 지금 필요는 없어보이니, 테이블이 몇개인지 테이블 수부터 알아보자.

 

 

 

 

count는 수로 반환하는 함수이므로, 테이블의 갯수를 알아보는 쿼리이다. 

database() 함수는 현재 db이름을 불러오는 함수이다.

information_schma 는 mysql의 메타 데이타로 

 

lucete1230-cyberpolice.tistory.com/81?category=851757

 

위 자료를 참고 하길 바란다.

 

 

테이블 수는 2개!

 

 

계속 사진으로 캡쳐하면, 글이 너무 길어질 것 같아 아래 텍스트로 대처하였다.

 

 

참고로 맨앞뒤 () 는 꼭 해줘야 인식 할 수 있다.

 

---

1번째 테이블 길이 맞추기 :
(select length(table_name) from information_schema.tables where table_schema=database() limit 0, 1)

--> 길이는 13이 나왔다.

 

## substring()함수는 첫 인덱스가 1 이기 때문에 1,1을 해주면 1번째 글자 한개가 뽑혀나온다. ##

 

테이블 이름 맞추기 : 
1번째 글자 :

(select ascii(substring(table_name,1,1)) from information_schema.tables where table_schema=database() limit 0,1) 

 

1분 37초는 60+37=97 == 'a'

2번째 글자 : 

(select ascii(substring(table_name,2,1)) from information_schema.tables where table_schema=database() limit 0,1)

 

1분 40초는 60+40 = 100 =='d'

3번째 글자 :

(select ascii(substring(table_name,3,1)) from information_schema.tables where table_schema=database() limit 0,1)

 

1분 49초는 60+49=109 =='m'

쭉 이렇게 구해보면 된다. 

 

13번째 까지 반복 작업을 해야 하므로, 파이썬으로 코드를 짜서 푸는 방법도 좋은 것 같다. 

 

정답은 안알려줄것이다.^_^

(이 문제는 풀어보면 도움이 많이 될 것 같아서 가이드를 제시 하는 것이니, 스스로 풀어보면 좋을 것 같다.)

 

 

이렇게 13 글자를 다 알면 2번째 테이블 길이, 이름도 구해보고 컬럼이름도 맞춰보면 된다.

 

 

힌트를 드리자면, 다음 테이블(2번째)은 글자 수가 매우 적으며, 

정답 pw는 1번째 테이블에 속한다.

 

1번째 테이블의 컬럼을 구하는 방법은 :

 

select count(column_name) from information_schema.columns where table_name={구한 테이블 이름(13글자)}

 

이렇게 컬럼 이름의 글자 수를 구하고,

 

글자 수에 맞춰 컬럼 이름을 알아본다.

 

select ascii(substring(column_name, 1, 1)) from information_schema.columns where table_name={테이블이름}

 

이렇게 쭉쭉 구하다가..

 

컬럼 이름을 다 맞춘다면, 이제 pw길이를 구하면 된다.

 

select length(컬럼이름) from 테이블 이름

 

(구한 값을 넣어주시면 됩니다.)

 

이렇게 구하면 패스워드 길이가 나옵니다.

 

마지막을 패스워드가 무엇인지 table이름을 구하는 방법처럼 구해주시면 되요~

 

패스워드 알아내기 :

select ascii(substring(컬럼이름, 1, 1)) from 테이블 이름

 

이렇게 다 구하면 clear!

 

완료된 값을 넣어주면

 

클리어!

 

저같은 경우는 파이썬을 이용해서 구했어요.

 

툴을 짜서 푸시는 것을 추천드립니다..아니면 노가다예요ㅠㅠㅠ 첨에 자꾸 에러나서 반이상 쿼리직접

쓰면서 구했더니 1시간 넘게 걸려버린 문제..

 

하여튼!

 

---

Clear!

 

정답 공개 ▼

1번째 테이블명, column값 1개, pw 17글자.