btr95

SQL injection 문제입니다.

모든 사용자 계정에 대한 엑세스를 확보하라고 합니다.

그렇다면 관리자로 로그인하라는 말일꺼라고 생각합니다.

Username: admin' or 1=1#

Password: 1

로 입력해보니 친절하게도 SQL문을 그대로 보여줍니다. 

Syntax error 난걸 보니 구문이 틀리다는건데 필터링 되는거도 없고 

주석처리한게 문제가 된거같아 바꿔보겠습니다.

'#' 대신 '--'를 사용하니 깔끔하게 성공합니다. 

오라클DB를 사용하는지 '#' 은 안먹히나보네요..

admin이라는 글자를 안쓰고 [' or 1=1-- ]을 사용해도 충분합니다.

(희한한건 '--' 을 사용하려면 뒤에 공백이나 문자를 넣어야는데 없어도 되는걸 보면 해당 문자만 들어와도 성공이라고 판단하나 봅니다..)

시작과 동시에 alert창이 나오고 Password를 입력하라고 합니다.

정보가 없으니 그냥 확인을 누르면 https://www.hackthis.co.uk/levels/ 페이지로 가게 됩니다..

다시해봐도 그렇네요..

그러다가 level4에서 소스코드 보기를 했던 방법을 적용해서 url을 다음과 같이 바꾸고 

소스를 분석해보기로 했습니다.

시작하자마자 alert창이 나왔다는건 javascript로 alert구문을 썼다고 생각하여 

<script>와 alert로 검색을 해봐도 모든 페이지에 나와있는 저 <script>만 존재하고 alert문은 없습니다.

여기서 진짜 뭔지 몰라서 많이 헤맸는데 level4 소스코드와 level5의 소스코드 중 다른 부분이 있을꺼라고 생각하여 비교를 해봤습니다. 거의 모든 부분이 동일했습니다.

분명 javascript가 발생했다면 어딘가에 해당하는 구문이 적혀있어야는데 이곳에 존재하지 않는다면

다른 javascript 파일 속에 적혀있다는 생각을 했습니다.

그러던 중 맨 아래 부분의 

부분이 다른 javascript를 불러오는 구문이며 level4와 다르다는 것을 알게되었습니다.

해당 파일을 열어보고 Password를 검색해보니 맨 아래부분의 한개 발견되었고

Password로 입력하는 값은 'p' 변수로 입력되고 'd'변수 값과 동일하면 해결되는 것 같습니다.

'd' 변수 값을 알아내고자 앞의 'a' 변수부터 복사해 개발자도구로 확인해봅니다.

다음과 같이 'd' 변수를 알아낼 수 있으며 해당 문자열을 입력하면 성공하게 됩니다.

Main level5에서는 Username이라는 <select>태그와 함께

Ronald로 로그인을 하면 성공한다고 나와있습니다.

하지만 현재 <select>태그에는 Ronald가 없으니 우리는 추가를 해줘야 할 것입니다.

개발자도구를 통해서 해당 구문으로 이동하여 [Edit as HTML] 기능으로 'Ronald'를 추가해줍니다.

추가를 해주면 Username <select>태그에서 고를 수 있기고 Submit을 하면 성공합니다.