btr95

$hidden_table의 값을 알아내는 문제입니다.

하지만 다양한 문자들이 필터링 되고 있어 쉽지 않았습니다.

우선 val값에 1을 넣어보니 test라는 값이 나오게 됩니다.

2,3,4 차례대로 넣어보면 guest,admin,zombie가 나오게 됩니다.

어떻게 해결할까 찾아보다 mysql에 procedure analyse() 라는 함수가 있었습니다.

해당 함수는 현재 실행 중인 칼럼에 대한 정보를 알려주는 역할을 합니다.

즉, $hidden_table의 정보를 알려준다는 말입니다.

그렇게 ?val=1 procedure analyse()를 입력하면 다음과 같이 테이블 명을 알 수 있게 됩니다.

[참고]

SQL Injection(MySQL) - procedure analyze(): http://hyunmini.tistory.com/46

HEADER INJECTION은 개행 문자를 이용해 HTTP Header 값을 조작하는 행위입니다.

Header는 개행 문자로 그 값을 구분하게 되는데 임의로 %0d%0a를 입력해 새로운 값을 넣을 수 있습니다.

그 예로 Set-Cookie: id=btr95 와 같이 쿠키 값도 입력할 수 있습니다.

우선 header가 전송되는 것을 확인해 봅니다.

id=btr95가 GET 방식으로 전송되는 것을 확인 할 수 있고.

Response부분에도 해당 값이 전송된 것을 확인할 수 있습니다.

하지만 실제 공격 코드인 %0d%0aSet-Cookie:%20id=btr95 를 입력해보면 Response에 아무런 값도 나오지 않게 됩니다.

옳은 값인데 왜 안되나 싶어 찾아보니...

문제에서 clear: btr95 를 주어줬고 해당 값으로 전송해야 했습니다..

?id=btr95%0d%0aclear:%20btr95 로 입력하게 되면 성공하게 됩니다.

http://webhacking.kr/challenge/bonus/bonus-5/?file=hello

첫 페이지와 URL입니다. hello.txt의 내용이 출력 된 것 같습니다.

password.php를 불러올 수 있다면 해결되는 문제입니다.

하지만 ?file=password.php를 입력해도 hello world만 나오게 됩니다.

예상해보면 문자열 뒤에 자동으로 .txt가 붙게 되고, 올바른 값이 아니면 hello world만 출력 시키는 것 같습니다.

그렇다면 뒤에 어떤 값이 오던 의미 없는 값으로 만들어야 합니다.

모든 문자열은 맨 마지막에 문자열의 끝을 알려주는 %00(NULL)이 있습니다.

%00이 나오는 순간 문자열의 끝이라고 판단하고 뒤에 문자열들은 신경 쓰지 않게 됩니다.

그럼 password.php%00 로 입력하게 되면 뒤에 무슨 값이 붙든 무시하게 되니 성공하게 됩니다.