[LOS] goblin 풀이(3)

 $query = "select id from prob_goblin where id='guest' and no={$_GET[no]}"; 

goblin 같은 경우 전 과는 다른 게 no={$_GET [no]} 영역에 쿼리문을 삽입하여 admin 계정으로 접근해야 됩니다.

 

  if(preg_match('/prob|_|\.|\(\)/i', $_GET[no])) exit("No Hack ~_~"); 
  if(preg_match('/\'|\"|\`/i', $_GET[no])) exit("No Quotes ~_~"); 

또한 preg_match의 영역이 하나 더 추가되면서 싱글 쿼터(')와 더블쿼터(") 과 존재할 경우 " No Quotes " 페이지로 넘김으로써 필터링 영역이 추가된 것을 확인할 수 있습니다.

 

싱글 쿼터를 " hex로 돌려서 url encoding " 시도를 해봤지만 동일하게 걸리네요. 이럴 경우 쿼터 종류를 사용하지 않는 적절한 쿼리문을 짜야됩니다.

 

no= 값에 1을 넣어보면 " Hello Guest " 가 나오는 것을 보니 guest 계정은 no=1을 부여받고 있는 것 같습니다.

그럼 no=1 은 제외한 2 나 3 등 거짓 값으로 만들어 줘야 될 것 같습니다.

 

 if($result['id'] == 'admin') solve("goblin");

또한 해당 소스를 보면 id= 매개변수에  "admin" 값이 들어가야 문제를 해결할 수 있는 힌트가 보입니다. 

 

admin을 hex 코드로 돌려 url에서 이해할 수 있게끔 no=2 or id=%61%64% 6d%69%6e 이런 형태로 입력해봤지만 해독만 해줄 뿐 반응이 없습니다.

 

고민을 해보다가 admin을 순수 16진수 형식의 hex 값으로만 변환해서 삽입을 해본 결과 성공적으로 Clear를 확인할 수 있었습니다.

 

admin을 hex로 변환하면 -> 61646d696e 값이 나오고 해당 페이지는 " php? " 방식을 사용하고 있기에 hex 코드를 이해할 수 있게끔 맨 앞에 " 0x "를 선언해주면 웹페이지에서 이게 hex 코드라는 걸 이해할 수 있게 됩니다.

 

hex 코드로 문제를 해결했다면 ASCII 코드도 사용해볼 만합니다.(진단해보면 보통 hex 코드나 ascii 코드나 함께 도출되더군요.)

 

Exploit Code

no=2 or id(097,100,109,105,110)
no=2 or id=0x61646d696e

"char" 형식의 변수를 선언해주고 그 안에 a(097), d(100), m(109), i(105), n(110) 형태로 변환해줘서 최종적으로 if($result ['id']의 부분에 " admin " 이 선언되도록 변환하여 쿼리문을 작성하면 됩니다.