☁️ Guleum LAB

Lord of Sql injection에서 " orc " 레벨의 경우 전 단계에서 진행했던 방식들과는 다르게 진행해야 됩니다. 우선 pw=' {$_GET[pw]}'"; 을 보다시피 쿼리문을 삽입할 변수의 종류는 한 개이며 id='admin'이라고 선언이 되어있는 상태입니다. if(($result ['pw']) && ($result['pw'] == $_GET ['pw'])) solve("orc"); 해당 문제를 해결하려면 소스에서 확인되는 것처럼 $_GET 방식으로 념겨 받은 pw 값과 admin의 실제 pw 값과 동일해야 문제 해결이 가능할 것으로 보입니다. $_GET [pw] = addslashes($_GET [pw]); 또한 "addlslashes" 함수에 의해 싱글 쿼터에 대한 조치를 해둔 것 같은..

$query = "select id from prob_goblin where id='guest' and no={$_GET[no]}"; goblin 같은 경우 전 과는 다른 게 no={$_GET [no]} 영역에 쿼리문을 삽입하여 admin 계정으로 접근해야 됩니다. if(preg_match('/prob|_|\.|\(\)/i', $_GET[no])) exit("No Hack ~_~"); if(preg_match('/\'|\"|\`/i', $_GET[no])) exit("No Quotes ~_~"); 또한 preg_match의 영역이 하나 더 추가되면서 싱글 쿼터(')와 더블쿼터(") 과 존재할 경우 " No Quotes " 페이지로 넘김으로써 필터링 영역이 추가된 것을 확인할 수 있습니다. 싱글 쿼터를 "..

preg_match 함수에 선언되어 있는 필터링 항목들을 보면 전 단계와 크게 차이 없어 보입니다. 하지만 pw=에 md5('')가 선언되어 있는 것을 확인할 수 있습니다. 전 단계 레벨에서 사용했던 방식으로 쿼리문을 삽입해보면 md5('') 값 덕분에 구문이 성공하질 않고 있습니다. 괄호 구분이 명확하지 않은줄 알고 괄호로 구분해 봤지만 rubiya를 환영한다는 문구가 나오고 성공되었다는 문구는 나오지 않습니다. 소스 부분을 제대로 확인해보니 [ id ] == admin으로 된 것으로 보아 입력되는 id는 "admin" 이여야 된다는 것을 뒤늦게 깨달았습니다. 또한 왜 입력되는 쿼리문에 md5('') 가 있는지 생각해봐도 존재의 의미를 알 수가 없었지만 단순 문제 해결을 막기 위한 디펜스 같은 역할로 ..

첫 번째 단계인 gremlin에서 preg_match 함수를 보면 별다른 입력값 검증을 하지 않고 ID와 PW 부분에 쿼리가 바로 삽입되고 있기에 삽입되는 쿼리문이 " 참 " 값을 가지도록 " or " 구문을 사용해서 작성해주시면 쉽게 통과됩니다. preg_match 함수에 지정해둔 ,/(\) 등 이 입력될 경우 " No Hack "이라는 문구를 띄우며 실패하고 있으니 해당 문구는 피해서 작성하면 되겠습니다. if(preg_match('/prob|_|\.|\(\)/i', $_GET[id])) exit("No Hack ~_~"); // do not try to attack another table, database! if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exi..