[wargame.kr] md5 password

 

 

[wargame 8번 문제 풀이]

 

 

문제를 풀어보자

 

md5 password에 관련된 문제인 듯 하다.

 

 

문제를 보니, 이전 문제와 생긴 건 딱히 다를게 없다.

 

 

get source로 코드를 살펴보자.

 

 

 

핵심 코드는 빨간 네모인 것 같다.

위에서 실제 입력하는 패스워드 값 즉 변수 $ps는 mysql_real_escape_string()으로 SQL인젝션에 대해 방지하고 있다.

 

 

www.lug.or.kr/files/docs/PHP/function.mysql-real-escape-string.html

mysql_query에서 특수 문자열을 이스케이프하기위해 사용

간단히 말하자면 위 함수의 기능은 SQL injection을 막아주기 위해 특수문자 앞에

이스케이프를 붙여주는 기능이 있는 것이다.

 

이스케이프(escape) 문자란 \(백슬래쉬)를 앞에 붙여 php에 정의되어 있는 원래의 의미를 벗어나는 문자들을 말한다.

 

 

하지만 중점은 그 부분이 아니라, 아래 쿼리문이 들어가는 과정에 있다. 

위 코드를 해석해보자면, $ps 변수 값을 md5로 해시하고, 그 값이 admin_password 테이블에 존재 한다면 $row변수에 값을 넣어주고, 아래 if문으로 row변수에 값이 들어있다면, key 값을 출력해주는 형태이다.

 

 

key값을 출력시키려면, DB테이블 안에 있는 password 의 md5해시 값을 맞추어야 한다.

하지만 우회 함수를 걸어놓았고, 암호화 되어있는 것을 맞추기란 거의 불가능 하다.

 

 

그렇다면 password에 들어가는 값을 살펴보자.

php 함수 중 하나인 md5()를 사용하고 있다. 이 함수에는 잘 알려진 매우 취약점이 있다.

 

 

먼저 md5()가 무슨 함수인지 알아보자.

md5함수는 인자로 들어온 문자열을 md5 해시화 하여 32byte의 길이로 반환해주는 함수이다.

md5()함수는 두 번째 인자 값을 선택적으로 줄 수 있는데, 이는 raw_output에 해당하는 옵션이다.

 

바로 이 raw_output에 의해 취약점이 발생한다.

 

raw_output옵션의  default(기본값)은 False이며, 이를 True로 주게 된다면 32byte 길이의 Hex 값을 16 byte의 바이너리 값으로 반환해준다.

 

 

python으로 간단한 예시를 짠 것을 확인해보자

 

출처 : https://m.blog.naver.com/PostView.nhn?blogId=is_king&logNo=221532839875&proxyReferer=https:%2F%2Fwww.google.com%2F

 

 

위에 보다싶이, password라는 문자열을 바이너리로 출력 해본 결과다.

hashlib 라이브러리의 함수를 사용하여  md5 해시된 password라는 문자열을

Hex값과, binary 값으로 출력 한 코드이다.

 

 

즉 Hex값은 raw_output 옵션의 False를 말하며, 

binaty의 값으로 출력된 코드는 raw_output 옵션이 True인 경우를 말한다.

 

 

아래는 또다른 예시이다.

https://hyunmini.tistory.com/43

 

함수의 특징을 알았으니, 우회 방법을 생각해보자.

 

md5 함수 부분에 만약 'or'이 들어가게 하여 SQL injection을 하면 어떻게 될까?

 

 

위 쿼리문에서 네모친 부분에 'or'이 들어간다고 생각을 해보면

 

1) "select * from admin_password where password='  ".md5($ps,true)."  '  "

2) select * from admin_password where password=' md5($ps,true) '

3) select * from admin_password where password=' 'or' '

4) select * from admin_password where True

 

이렇게 위와 같은 단계로 sql 쿼리문이 만들어 진다 즉 password = '  ' or '  ' 이러한 쿼리 문이 들어가게 되어, 

 

password = '  ' --> False

or

' ' --> True

 

즉 False or True 로 결과는 True가 되어 admin_password 테이블 내에 있는 모든 패스워드가 출력될 것이다.

 

아래의 다른 사례로 '=' 을 이용하여 취약점을 발생시킬 수도 있다.

 

https://hyunmini.tistory.com/43

(와.. 나는 태어나서 false injection을 처음 알았다... mysql 오류인가? 생각했던 건데.. false.. .. .. 메..모:) 

 

 

즉 두가지 방법이 있는 것이다. 

 

1. or로 참과 거짓을 만들어 참 값으로 만들기.

2. mysql 에 false injection을 통해 참 값으로 만들기!

 

 

이렇게 풀이법을 알아내었으니, 파이썬으로 '='값이 들어가도록 코드를 짜보자.

 

if 뒤에 273d27 --> (ascii code로 27은 싱글쿼터, 3d는 = 이다. 즉 '=' 를 나타냄)

 

 

즉 1~111112210 까지의 숫자를 md5로 해시화 시킨후 문자열취급 하여 인코딩 한 값을 16진수로 바꾼 것이다.

 

 

코드를 실행 시키면, 여러가지 값들이 출력된다.

값들 중 1839431을 써보자 (true인 값도 있고, false 도 출력되는 것이 있다!)

 

 

Password 출력!!! Clear~~

 

끝!