hdd

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 25단계 소스코드이다. id와 pw둘다 같은 내용인 ', ",., prob, _ 가 필터링되어있다. 싱글 쿼터와 더블 쿼터 우회 문제인 것 같다. 사실 이제 문제에 대해서 감도 안 와서 조금 시도해보다가 그냥 인터넷 검색했다. 일단 los 16단계에서의 내용으로 싱글 쿼터를 우회하였다. https://samron.tistory.com/18 Lord Of SQL injection 16단계-succubus LOS 포스팅에 앞서 틀린 내용이 있을 것이며, 댓글을 통해 가르쳐 주시면 굉장히 감사하겠습니다. 15단계 소스코드이다. 이번엔 id와 pw에 싱글 쿼터 하나만 필터링되어있다. id값이 데이 samron.tistory.c..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 24단계 소스코드이다. 23번 문제와 굉장히 유사하다. 이번엔 sleep, 와 benchmark함수 등을 필터링하였다. 이는 시간 기반 공격을 막기 위한 것으로 추측된다. 하지만 if가 필터링되지 않았기에 공격 가능하다. 일단 참과 거짓을 구분할 수 있는 포인트를 찾는 게 중요하다. order by에 칼럼수 이하의 수를 집어넣었을 때 정상적으로 데이터가 출력되지만 4를 집어넣으니 아무 결과도 출력되지 않는다. 이 점을 이용해 문제를 풀어보겠다. 일단 email의 길이부터 추출한다. email의 길이는 정상적인 상황이라면 무조건 1보다는 클 거니까... 정상적으로 데이터가 출력되었다. 거짓인 조건을 넣었을 때 데이터가 출..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 23단계 소스코드이다. 이번엔 union과 proc가 필터링되었다. 이번 문제는 파라미터에 order by절이 들어가 있다. 1.order by n // n번째 칼럼의 오름차순으로 정렬하고, 전체 칼럼이 n개보다 작으면 오류가 생긴다. 에러를 출력하지 않으니 시간지연 기반 sql 이 먹힐 거라는 걸 추측할 수 있다. 일단 문제해결 조건은 admin에 해당하는 email 값을 넣으면 문제가 해결된다. 일단 email의 길이부터 알아내야한다. query : ?order=if(id='admin'and(length(email)=28),sleep(2),1) // id=admin이고 email의 길이가 28이면 2초동안 멈춘다. ..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 22단계 소스코드이다. 이번엔 21단계에 이어서 col, if, case, when가 추가로 필터링 되었다. 그리고 pw 값에 admin의 pw와 일치하는 값을 넣으면 문제는 해결된다. 조건문들을 사용하지 못하게 한것같다. 그리고 exit() 함수에 db에러를 출력해주는 변수가 빠졌다. 이번에는 에러문을 아무것도 출력해주지 않는다. 하지만 필터링된 문자를 보고 strcmp() 함수가 생각났다. 1. strcmp(a,b) // a와 b의 값을 비교해서 ab 0보다 큰값을 반환한다. 하지만 이함수는 이문제를 해결하는데 사용될 순 있지만 필요가 없었다. 그리고 새로운걸 배웠다. select a where에서 where절이 i..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 21단계 소스코드이다. pw 파라미터에 sleep, benchmark 등의 함수가 필터링 된걸 볼 수 있고, 문제 해결조건은 pw에 admin의 pw 값을 넣으면 해결된다. 일단 필터링된 두 함수의 기능부터 알아보자. 1. sleep(n) // sql에서 where 뒤에 호출되며 괄호안의 숫자(초) 만큼 지연시킨다. ex) sleep(3) -> 3초 지연 2. benchmark(a,b) // a는 돌릴 횟수 이며 b는 수행할 함수이다. ex) select benchmark(10000,2+2) ->2+2를 만번한다. 또 이번엔 exit(mysqli_error)를 통해 에러가 생기면 해당 에러를 페이지에 반환해준다. 이 문..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 20단계 소스코드이다. 소스코드는 간단하다. pw에는 의도를 벗어난 해킹을 막기위한 필터링만 되어있다. 하지만 쿼리의 id 파라미터 뒤에 #이 들어가 있어 뒷부분이 주석처리가 되어있다. 다른건 딱히 안보이고 # 주석만 우회하면 문제는 해결된다. # 주석은 한줄을 주석처리한다. 하지만 %0a (Line Feed: 프린터에서 종이가 한줄 씩 인쇄되며 나오는 문자) 가 오게되면 주석처리가 끝이난다. 따라서 쿼리는 ?pw=%0a and pw=||+id='admin'--+- 이다. 해결! 시행착오&느낀점 1. 처음에는 db에서 쿼리를 pw 로 다시 줘야한다 생각해서 pw?='%0a&pw=~~ 등으로 쿼리를 주입했었고 역시나 제대..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 19단계 소스코드이다. 이번 문제는 난이도가 급감한 느낌이다. 하지만 pw에 regex와 like를 필터링 중이다. regexp_like(stringa, '조건식', c) // stringa에서 조건식에 해당하는 값을 출력함. ※c면 대소문자 구분 i면 무시한다.※ ㄴex) select regex_like(pw, 'a|b|c') // a 또는 b 또는 c 가 포함된 pw 값을 출력한다. ㄴex) select regex_like(pw, 'a$') // a로 끝나는 pw값을 출력한다. ($는 뒤에 붙임) ㄴex) select regex_like(pw, '^a') // a로 시작하는 pw값을 시작한다. (^는 앞에 붙임) ㄴ..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 18단계 소스코드이다. 이번엔 pw가 id 보다 먼저 왔다. 또한 pw에 -, # 가 필터링 처리되어있다. 이는 주석을 사용하지 못하게 하려는 의도이다. 일단 주석처리 방법에 대해서 알아보자 1. -- // 한줄 주석처리이며 --뒤에 공백이 와야 정상적인 주석처리가 된다. 2. %23 // 한줄 주석처리이며 #이 아닌 %23을 입력해야 정상적으로 작동한다. 3. /**/ // 다중 주석처리이며 /*부터 */가 나올 때 까지 주석처리가 되며 /*/**/*/ 이면 /*/**/*/ 이렇게 처리된다. 4. ;%00 // 주석처리이다. 이 문제에 적합한 주석처리는 4번이다. 또한 pw에는 문자열이 6글자 이하로 제한되어있다. 6..