hdd

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 41단계 소스코드이다. sqlite에서 mssql로 서버가 바뀌었다. id와 pw를 파라미터로 받으며 메타데이터 접근과 시간 기반 공격들을 필터링하고 있다. 따라서 남은 방법은 blind sql과 error sql이다. 그리고 바로 그 밑줄에 에러 발생 시 mssql의 에러를 출력해준 뒤 종료해준다는 구문이 있다. 에러 기반 문제이다. 에러 기반 문제는 보통 에러 출력 페이지에 사용자가 원하는 값을 표출되게끔 한다. 여러 번 시도를 해봤지만 도저히 문제가 풀리지 않아 인터넷 힘을 다시 빌렸다.. 쿼리: ?id=admin&pw=1%27or%20id=%27admin%27%20and%20pw=1--+- 기존 쿼리를 종료하고 ..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 40단계 소스코드이다. id=admin으로 고정되어있고 pw파라미터를 입력받아 일치하면 풀리는 문제인 줄 알고 풀었었다. 역시 아니었고 poltergeistFlag === pw 구문을 보고 이상한 점을 느꼈다. 일단 mysql에서 했던 것처럼 blind sql을 위해 참 거짓 출력이 다른 점을 찾았었고 admin에 해당하는 pw값을 찾아 파라미터로 주입했지만 문제는 풀리지 않았다. 어차피 정답이 아닌 부분이라 자세하게 포스팅하지 않겠다. 문제의 해결조건은 pw로 입력받은 값이 poltergeistFlag의 값과 같으면 해결된다. 따라서 admin의 pw값은 애초에 필요하지도 않았다.. 소스코드를 보면 주석처리된 부분에 ..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 39단계 소스코드이다. 이제는 그냥 mysql서버가 아닌 sqlite에서 푸는 게 기본이다. 아마 mysql과는 다른 문법을 익히라는 의도 같다. pw에서는 sqlite, member, _를 대소문자 구분 없이 필터링 처리했다. sqlite에서 저 단어들이 어떻게 사용되는지 모르겠지만, 일단 이번 문제를 해결하는 데는 필요 없다. pw파라미터에 인증 우회 구문을 넣어본다. 인증 우회에 성공했다. blind sql을 사용할 수 있게 되었다. 하지만 sqlite문법에 맞지 않으면 아무런 소스코드를 출력하지 않는다. 바로 pw의 길이를 추출한다. 여러 번 시도를 했지만 편의상 첨부 자료는 하나만 올리겠다. pw의 길이는 8이..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 38단계 소스코드이다. id와 pw가 addslashes 처리되어있으며 id가 admin이어야 문제가 해결된다. addslashes는 필터링 문자열 앞에 \를 넣어주기 때문에 널 바이트 우회로 시도해본다. ? id=admin% fa'--+- 실패다. 이유를 찾아보니 sqlite는 mysql과 달리 addslashes처리에 \가붙어도 \가 이스케이프 문자로 쓰이지 않기에 그냥 문자열만 추가된다고 한다. 따라서 싱글 쿼터 없이 id에 admin을 입력할 방법을 찾아야 한다. 0x도 먹히지 않는다. 한참을 고민하다가 char을 생각했다. 성공 시행착오 1. sqlite에서는 or이 ||로 사용될 수 없다. 2. sqlite에..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 37단계 소스코드이다. 코드가 이전 문제들과는 조금 달라졌다. $db = sqlite_open("./db/chupacabra.db"); 가 생겼다. 그냥 sqlite를 열어주는 기능을 한다. 그리고 문제는 또 한방에 풀렸다. ? id=admin'--+- 아마 db의 변화에 따른 입문 문제인 것 같다.

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 36단계 소스코드이다. 파라미터로 id, pw를 받고 id와 pw가 각 first, second면 풀린다. 또한 소스코드에 주석처리로 반드시 union select를 사용해야 한다고 힌트를 줬다. 바로 해보자 쿼리가 실패했다. 방화벽에 무언가가 걸린 듯한데 어떤 부분인지 수동으로 찾는다. 일단 공백우회는 아니지만 union과 select가 순서대로 오면 오류를 발생시킨다. 일단 여러시도끝에 문제는 해결시켰다. 하지만 다른 문제가 생겼다. 일단 문제 해결 화면이다 ?id=\&pw=union/***/select 'first','second'--+- 공백을 /***/ 처리로 해줬는데 /**/ 주석 사이에 *가 아닌 다른 문자..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 35단계 소스코드이다. 이번은 id와 pw를 파라미터로 받고 그 값이 table에 있으면 hello admin을 출력해 주는 것 같다. 그리고 pw는 addslashes로 필터링 하여 prob_godzilla에 id를 admin으로 고정하고 pw를 넣어주어 일치하면 해결되는 것 같다. 음 일단 pw가 addslashes로 (', ") 이 필터링되기에 id파라미터에 쿼리를 주입해야겠다 생각 들었다. hello admin으로 인증 우회가 된 모습을 볼 수 있다. 이제 pw를 알아내면 된다. 먼저 pw의 길이는 8자리이다. 이를 토대로 인젝터를 작성하고 실행시킨다. a18a6cc5가 나왔다. 해결 시행착오 1. 최근 문제들은..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 34단계 소스코드이다. 파라미터로 id와 pw를 받고 pw는 md5() 함수로 감싸 져 있다. 그리고 필터링은 그냥 필요 이상의 해킹 시도와 대소문자 구분 없이 admin만을 하고 있다. 그래서 이번에도 그냥 33단계처럼 싱글 쿼터 우회로 \와 hex변환으로 쿼리를 만들어서 삽입하니 바로 해결되었다. 또한 md5() 함수의 뒷부분은 그냥 주석처리로 날려준다. ?id=\&pw=||id=0x61646d696e--+- 문제 해결 시행착오 1. 이번 역시 주석처리가 아닌 ('로는 문제가 해결되지 않는다.