[LOS] Nightmare 풀이(18)

18번째 문제인 "nightmare"입니다.

 

if(preg_match('/prob|_|\.|\(\)|#|-/i', $_GET[pw])) exit("No Hack ~_~"); 
if(strlen($_GET[pw])>6) exit("No Hack ~_~");

"pw" 변수에는 _ . () # - 같은 기호들을 검증하고 있습니다. 

또한 GET [pw]>6처럼 입력값 길이를 검증하고 있기 때문에 6글자를 넘어가면 No Hack이라는 페이지로 넘기고 있습니다.

 

문제

1. 우선 입력값 길이 제한을 맞춰야 하기 때문에 기본적인 "참" 구문인 or 1=1 은 불가능할 것으로 보입니다. 
문제를 해결하기 위해선 if($result['id']) solve("nightmare"); 처럼 admin 이 아닌 아무런 계정으로 접근만 하면 통과입니다.

2.admin 일 필요없으니 입력된 pw 값 이외에 쿼리문을 실행되지 않게 하기 위해 --%20 과 # 이외 방법으로 "주석" 처리를 해야 될 것 같습니다.

 

입력값 길이를 검증하고 ()(괄호) 로 막혀 있기 때문에 쿼리문을 실행시키기 쉽지가 않습니다.. 힌트를 확인해 본 결과
mysql의 "auto type cast"(자동 형 변환) 를 활용해서 입력값을 최소한으로 단축시켜 값을 비교해야 됩니다.

 

Auto Type Cast 란

MySQL은 비교나 검색을 수행할 때 데이터의 타입이 서로 다를 경우, 내부적으로 타입이 같아지도록 자동 변환하여 처리합니다. 즉 서로 다른 데이터형의 값을 비교해도 아무런 문제가 없다는 얘기입니다.

 

nightmare 문제 이외에 SQL injection을 진행하면서 변수에 숫자를 사용할 수 없는 경우에는 아래와 같이 auto type cast를 사용해서 우회할 수 있습니다.

false = 0
true = 1
true+true = 2
floor(version()) = 5

 

해결 방법

1. 자동 형 변환 활용
auto type cast에서 기본적으로 "문자열" 또는 '' 는-> 숫자 0 으로 리턴되기 때문에 이것을 이용해서 입력값 길이도 줄이고 참값을 만들 수 있습니다.

2. 변수이후의구문을주석처리하게 됨으로써 "pw" 변수 까지만 쿼리문이 실행되게끔 하면 됩니다.
아래에 제시된 주석 방법 중 필터링하지 않는 방법을 사용하면 됩니다.

--%20
%23
/**/
;%00

 

변수에는 pw=('') 처럼 괄호로 묶여 있는 것을 이용해야 되기에 '(싱글쿼터) 와 닫는 괄호 " ) " 를 이용해서 ('') 형태로 묶어주면 --> auto type cast로 인해 숫자 " 0 "으로 변환됩니다. 

 

즉 변환된 숫자 0 과 =0 과 비교하여 무조건 "참" 값으로 되고 그 이후의 구문들을 ;%00 으로  주석처리됨으로써 ;(세미콜론) 이후의 구문들은 모두 의미가 없게 되어 쿼리문이 실행되는 것을 방해하지 않게 됩니다.