hdd

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 20단계 소스코드이다. 소스코드는 간단하다. pw에는 의도를 벗어난 해킹을 막기위한 필터링만 되어있다. 하지만 쿼리의 id 파라미터 뒤에 #이 들어가 있어 뒷부분이 주석처리가 되어있다. 다른건 딱히 안보이고 # 주석만 우회하면 문제는 해결된다. # 주석은 한줄을 주석처리한다. 하지만 %0a (Line Feed: 프린터에서 종이가 한줄 씩 인쇄되며 나오는 문자) 가 오게되면 주석처리가 끝이난다. 따라서 쿼리는 ?pw=%0a and pw=||+id='admin'--+- 이다. 해결! 시행착오&느낀점 1. 처음에는 db에서 쿼리를 pw 로 다시 줘야한다 생각해서 pw?='%0a&pw=~~ 등으로 쿼리를 주입했었고 역시나 제대..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 19단계 소스코드이다. 이번 문제는 난이도가 급감한 느낌이다. 하지만 pw에 regex와 like를 필터링 중이다. regexp_like(stringa, '조건식', c) // stringa에서 조건식에 해당하는 값을 출력함. ※c면 대소문자 구분 i면 무시한다.※ ㄴex) select regex_like(pw, 'a|b|c') // a 또는 b 또는 c 가 포함된 pw 값을 출력한다. ㄴex) select regex_like(pw, 'a$') // a로 끝나는 pw값을 출력한다. ($는 뒤에 붙임) ㄴex) select regex_like(pw, '^a') // a로 시작하는 pw값을 시작한다. (^는 앞에 붙임) ㄴ..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 18단계 소스코드이다. 이번엔 pw가 id 보다 먼저 왔다. 또한 pw에 -, # 가 필터링 처리되어있다. 이는 주석을 사용하지 못하게 하려는 의도이다. 일단 주석처리 방법에 대해서 알아보자 1. -- // 한줄 주석처리이며 --뒤에 공백이 와야 정상적인 주석처리가 된다. 2. %23 // 한줄 주석처리이며 #이 아닌 %23을 입력해야 정상적으로 작동한다. 3. /**/ // 다중 주석처리이며 /*부터 */가 나올 때 까지 주석처리가 되며 /*/**/*/ 이면 /*/**/*/ 이렇게 처리된다. 4. ;%00 // 주석처리이다. 이 문제에 적합한 주석처리는 4번이다. 또한 pw에는 문자열이 6글자 이하로 제한되어있다. 6..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 17단계 소스코드이다. 새로운 함수가 보인다. strrev()// 문자를 뒤집는 함수이다. ex) id=admin strrev(id) ->nimda id와 pw에 ', ", null 을 필터링 시키고 값을 뒤집어서 다시 id와 pw에 저장하며 id와 pw값이 db에 있으면 문제가 해결된다. addslashes를 우회하고 거꾸로된 문자열을 대입했을 때 풀리는 쿼리를 집어넣으면 된다. addslashes() // ', ", %00 앞에 이스케이프 문자를 넣어 해당 문자들의 기능을 상실시키고 문자그대로로 인식시킨다. 이번문제에서는 strrev() 함수로 인해 id와 pw에 입력된 값이 역순으로 배열되니 addslashes()..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 15단계 소스코드이다. 이번엔 id와 pw에 싱글 쿼터 하나만 필터링되어있다. id값이 데이터베이스에 있는 값이면 문제가 해결된다. 이 문제는 싱글 쿼터 우회 문제이다. 싱글 쿼터를 우회할 수 있는 방법에 대해 찾아보자. 1. " // 더블 쿼터 ex) "admin" 2. \ //escape 문자 ex) id='\' and pw='' -> \로인해 id의 뒤 싱글 쿼터가 문자로 인식되며 'and pw가 문자열로 인식된다. pw의 뒷 ' 은 주석처리로 제거할 수 있다. 3. char(39) // 아스키코드 이번 문제는 2번 방법으로 해결된다. id 값에 이스케이프 문자 \ 를 넣어주므로 id='\' and pw='' ' ..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 15단계 소스코드이다. 이번엔 pw 뒤에 등호가 아닌 like 로 쿼리가 이루어져 있다. id 가 admin인 pw값을 입력하면 문제가 해결된다. 하지만 like는 =와 달리 pw의 모든값을 입력할 필요가 없다. LIKE 응용(대소문자 구분안함) 1. a% //a로 시작하는 문자열 검색 ex) asd 2. %a% //a가 포함되어있는 문자열 검색 ex) sad 3. %a //a로 끝나는 문자열 검색 ex) fgdfga 4. a_ //a로 시작하며 _갯수만큼의 문자열 검색 ex) a4 5. a-c //a와c 사이에 한글자가 들어가있는 문자열 검색 ex) agc 6. ^a //첫번째 글자가 a가 아닌 문자열 검색 ex) b..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 14단계 소스코드이다. 이번엔 strlen() 함수가 등장했다. shit의 문자열 값이 1보다 크게 입력하지 못하도록 필터링되었다. 또한 공백과 \n, \r. \t 등이 필터링되어있다. result 값이 1234가 되면 문제가 해결된다. 처음에 나는 문자열 길이 제한 우회 문제인 줄 알았다. 하지만 문제를 제대로 읽지 않는 실수를 또 했다. 항상 마음이 급하다. 쿼리는 select 1234 from {$_get [shit]}prob_giant where 1";이다 사실 sql 도 잘 알지 못해 select에 변수가 아닌 1234를 넣으면 어떤 결과를 출력할지도 몰랐다. 하지만 문제만 잘 읽었다면 함수가 뭐가 쓰였든, 중..

LOS 포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 13단계 소스코드이다. 이번은 전 단계에서 조건이 더 추가되었다. no에 substr, ascii, or, and, like, 0x, = 이 필터링되었다. 이것을 우회하고 no 값과 pw 값을 찾아서 넣으면 문제는 해결된다. 일단 blind sql을 수행하기 위한 조건인, 참과 거짓일 때 웹 페이지가 다르게 출력되는 걸 찾아야 한다. 공백 우회는 %09 (tab)으로 등호는 in으로 우회하여 blind sql을 시작할 조건을 갖췄다. no 값은 2다. and는 %26%26으로 우회했다. =(등호) 우회방법 1. like // 등호와 같은 방법으로 쓰인다 2. instr(a, "b") // instr(a, "b") , i..