[LOS] Succubus 풀이(16)

16 번째 문제인 "succubus"입니다.

 

 if(preg_match('/prob|_|\.|\(\)/i', $_GET[id])) exit("No Hack ~_~"); 
 if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~");
 if(preg_match('/\'/',$_GET[id])) exit("HeHe");
 if(preg_match('/\'/',$_GET[pw])) exit("HeHe");

검증하고있는 코드를 확인해보면 preg_match 함수를 통해 " ' "(싱글쿼터) 를 필터링하고 있는데 문제는 " id " 변수와 " pw " 변수 모두검증하고 있기 때문에 우회할 수 있는 방법을 생각해봐야 합니다.

 

$query = "select id from prob_succubus where id='{$_GET[id]}' and pw='{$_GET[pw]}'";
if($result['id']) solve("succubus"); 

입력되는 쿼리 문의 형태를 보면 이번에는 2가지 변수를 모두 사용해서 해결해야 될 것 같습니다. 또한 결과 값이 " admin " 일 필요가 없기 때문에 그냥 계정만 도출시키면 됩니다.

 

아무리 싱글 쿼터를 우회하려고 해 봐도 도저히 벗어날 수가 없어서 방법을 찾아보던 중

 

문자열을 이스케이프 형태로 바꿔줄 수 있는 " \(역슬래쉬) " 가 있다는 것을 알았습니다.

 

문자열 이스케이프

$query = "select id from prob_succubus where id='\'&and pw=' or 1=1%23 

진하게 표시된 영역같이 역 슬래쉬 다음에 존재하는 '(싱글 쿼터)부터 그다음에 나오는 pw='(싱글 쿼터) 까지를 문자열로 인식하기 때문에 "id" 변수에는 '(싱글 쿼터)가 한 개 남게되고 그다음 Where 구문 우회기법인 or 1=1(주석) 을 통해항상 " 참 " 이 되도록 할 수 있습니다. 

 

문자열 인식: \'&and pw=
남는 구문: id='문자열로 인식' or 1=1#