choiys

Wargame.kr

Web_700

ip log table

700점짜리 문제도 거의 끝나가네요. Blind SQL Injection을 이용하여 풀이하는 문제인 것 같습니다.

바로 문제를 확인 해 보도록 하죠.

문제에 접속 해 보니 상단에 admin 계정으로 로그인 할 수 있는 페이지로 접근 할 수 있는 버튼이 있고, 아래 테이블에는 idx와 함께 IP가 있습니다.

해당 테이블의 항목들을 클릭하면 아래와 같은 log time이 나타납니다.

이 log time은 문제 페이지에 접속한 당시의 서버 시간을 나타내는 것 같습니다.

그리고 Request 때리는 부분을 확인해봤더니 chk.php 페이지로 POST 요청을 날려주는데, 파라미터로 idx를 같이 날려줍니다.

이 idx가 위에서 확인했던 log time을 구별해주는 지표가 됩니다.

여기서 생각 할 수 있는것은 이 idx 파라미터가 전달 될 때 select 쿼리를 사용할텐데, 여기에 single quotation이 없는 등의 코딩 실수가 있을 경우 SQL Injection이 가능할 것입니다.

그래서 위와 같이 burp suite를 이용하여 idx 파라미터에 select문을 사용하여 table명을 알아내는 코드를 짰더니, 참과 거짓에 따라 다른 값이 나타났습니다.

(chk.php 페이지에서는 idx가 문제 페이지에 나타나있는 테이블에 존재하지 않는 경우 1970년 1월 1일자로 나타납니다.)

따라서 이를 이용하여 Blind SQL Injection을 먹일 수 있습니다.

python으로 테이블명을 알아 낼 수 있는 스크립트를 작성했습니다.

돌려보도록 하죠.

페이지 내에 sleep문이 적용되어있는지 약간 느린 반응을 보여줬습니다. 이 11글자 알아내는데 30초가 넘게 걸렸습니다...

아무튼 limit의 숫자를 늘려가며 admin_table이라는 테이블을 알아냈습니다.

이 테이블 안에 아마도 admin 계정의 id와 pw를 알아 낼 수 있는 컬럼이 있을 것입니다.

위에서 사용했던 payload.py를 복사하여 약간 내용을 수정 후 column.py로 바꾸고 컬럼 값을 찾는 스크립트를 돌려봤습니다.

이 또한 limit 값을 늘려가며 찾아보았더니 id와 ps라는 컬럼을 찾아 낼 수 있었습니다.

이제 이를 이용하여 admin 계정의 id와 pw를 알아내면 될 것 같습니다.

id는 blue_admin

pw는 0h~myp4ss!인 것을 알아냈습니다.

이제 이를 admin 페이지에 접속하여 로그인 해 보도록 하죠.

짠! flag를 찾아냈습니다.

Wargame.kr

Web_600

SimpleBoard

600점짜리 문제입니다.

Union을 이용한 SQL Injection 문제라고 하네요.

스크립트가 필요할 것이라고 합니다. 문제를 확인 해 보도록 하죠.

들어가보면 게시판이 하나 있습니다. 해당 제목을 클릭하면 글의 내용이 보여지며 HIT수가 올라갑니다.

소스를 확인해보죠.

read 함수의 where 구문에 $idx를 살펴보면 Single Quotation이 없습니다. 따라서 이 부분을 공격 벡터로 이용하여 SQL Injection을 먹일 수 있을 것 같습니다.

사실 이 문제의 경우 union을 이용한 SQL Injection이라고 하였지만, 계속 넣어봐도 query error만 뱉어내고 작동을 안해서... Blind SQL Injection을 이용하여 풀이했습니다.

파이썬 스크립트를 작성하여 테이블 이름을 찾아보았습니다.

limit 41, 1 을 걸어주었을 때 SIMPLEBOARD 테이블이 나왔고 40, 1을 걸어주었을 때 README라는 테이블 또한 뱉어냈습니다.

아마 README 안에 FLAG가 들어있을 것 같습니다.

다음은 COLUMN을 찾아보겠습니다.

limit 480,1을 걸어주었습니다.

column 중 FLAG라는 이름을 가진 컬럼이 있습니다.

이제 select 구문을 이용하여 flag를 따낼 차례입니다.

짠!

Webhacking.kr

Prob40

웹케얄 40번 문제입니다. 500점짜리 문제라 고생을 많이 한 것 같습니다.

일단 문제에 접속하면 위와 같은 로그인 폼이 나옵니다. no, id, pw 값에 1, guest, guest가 자동으로 입력되어있습니다.

그대로 로그인을 해주면 "Success - guest" 라는 메시지를 출력해줍니다.

만약 이 값들 중 하나라도 틀리게 된다면

이와 같은 "Failure" 메시지를 뱉어냅니다.

계속된 삽질 가운데, no 부분이 integer로 값을 받는다는 것을 알아냈습니다. 그래서 &&을 이용하여 select문을 사용해봤더니

정상적으로 로그인이 됩니다.

이를 이용하여 admin이 담겨있는 row로 추정되는 no=2에 해당하는 값을 빼오기 위해 아래와 같이 입력해줍니다.

위 쿼리는 no가 2일때 1을, 아닐 때 0을 출력해주는데, no=2가 admin이라고 가정하고 사용한 쿼리입니다.

로그인을 하면 admin의 패스워드를 요구하는 웹페이지가 나타납니다.

이제 admin의 패스워드를 알아내야하는데, 간단하게 "pw like %"와 같은 쿼리를 이용하여 패스워드를 찾아내도록 합시다.

python으로 pw 값을 찾아내는 스크립트를 작성하였습니다.

찾아낸 admin의 pw 값은 LUCK_ADMIN입니다.

애초에 mysql에서 대/소문자 구분이 없기 때문에 대문자로만 찾아냈습니다. 하지만 LUCK_ADMIN을 입력했을 때 Wrong!을 뱉어내기에 소문자로 luck_admin을 입력해주었습니다.

짠!

References

- THX to Zairo!!(http://zairo.tistory.com)

SuNiNaTaS

Web Level10(Prob_23)

써니나타스 웹 카테고리의 마지막 문제입니다.

Hard Blind SQL Injection 문제라고 합니다.

이번에는 admin이라는 단어 자체가 필터링이 되어 있습니다. 이를 우회하여 admin 계정의 패스워드를 알아내는 것이 우리의 목표가 되겠습니다.

기본으로 주어지는 계정인 guest/guest 계정을 이용하여 주물럭거리다 보니 위와 같은 형태로 문자열 필터링 우회가 가능하다는 것을 알아냈습니다.

그래서 22번 문제와 동일한 방법으로 admin 계정의 pw 길이를 먼저 알아냈습니다.

그런데 쿼리를 작성하다 보니 자꾸 No Hack. 필터링이 걸리기에 확인을 해봤더니 역시나 쿼리 길이 제한이 있었습니다.

우와 같이 30byte까지는 허용 범위이지만

30byte를 넘어가는 순간 No hack을 뱉어내고 종료시킵니다. 따라서 우리는 30byte 이내의 쿼리를 작성해야 하는 상황이 됩니다.

한참 고민하던 중 22번과 다르게 23번 문제는 or 이 필터링 되지 않았다는 것을 알고 바로 이용했습니다.

substring, substr이 필터링 되기 때문에 이를 우회하기 위해 left 함수와 right 함수를 함께 사용하여 기능을 구현했습니다.

또한 쿼리를 작성하다보니 계속 30byte를 넘겨서 고민을 계속 해본 결과 위와 같은 형태의 쿼리문이 완성되었습니다.

딱 30byte

바로 python으로 브포 코드를 작성하여 key값을 찾아냈습니다.

SuNiNaTaS web level all clear!

SuNiNaTaS

Web Level9(Prob_22)

9번째 문제입니다. Blind SQL Injection을 이용한 문제 풀이인데, 소스를 확인 해 보니 admin의 pw를 알아내는 것이 목표라고 합니다.

위와 같이 id에 admin'--, pw에 아무 값이나 넣어주면 pw 부분이 주석 처리 되어 바로 로그인이 가능해집니다.

이를 이용하여 and 뒤의 값을 적절히 변형시켜주면 참과 거짓일때의 반응이 다르다는 것을 알 수 있습니다.

참일때는 OK admin, 거짓일때는 false를 뱉어냅니다.

len 함수를 이용하여 pw의 길이를 확인 해 보니 10글자인 것을 알 수 있었으며

substring 함수를 이용하여 pw의 값을 한 글자씩 끊어서 판별 할 수도 있습니다.

python 스크립트를 이용하여 bruteforcing으로 키값을 알아내는 코드를 작성했습니다.

최종 값이 나오면 Auth 페이지에서 인증하면 됩니다.

References

 - Zairo(http://zairo.tistory.com/entry/SuNiNaTaS-Challenge-Level-22)