[LOS] cobolt 풀이(2)

preg_match 함수에 선언되어 있는 필터링 항목들을 보면 전 단계와 크게 차이 없어 보입니다. 하지만 pw=에 md5('')가 선언되어 있는 것을 확인할 수 있습니다.

 

전 단계 레벨에서 사용했던 방식으로 쿼리문을 삽입해보면 md5('') 값 덕분에 구문이 성공하질 않고 있습니다.

 

괄호 구분이 명확하지 않은줄 알고 괄호로 구분해 봤지만 rubiya를 환영한다는 문구가 나오고 성공되었다는 문구는 나오지 않습니다. 소스 부분을 제대로 확인해보니 [ id ] == admin으로 된 것으로 보아 입력되는 id는 "admin" 이여야 된다는 것을 뒤늦게 깨달았습니다.

 

또한 왜 입력되는 쿼리문에 md5('') 가 있는지 생각해봐도 존재의 의미를 알 수가 없었지만 단순 문제 해결을 막기 위한 디펜스 같은 역할로 생각하고 그냥 주석으로 막아버리면 어떨까 생각해봅니다.

 

그럼 어느정도 해답에 가까워진 것 같습니다.

 

해결방법

1. " [ id ] == " 에 입력되는 값은 소스에 나온 것처럼 "admin"으로 고정해주고

2. pw= 영역에 고정적으로 선언되는 " md5('') 암호화 알고리즘을 " 주석 " 처리를 통해 무력화

 

id=라는 매개변수에 인자 값을 admin'으로 입력한 후 주석(#)을 입력해 이후의 값 md5를 무력화시키도록 하면 됩니다.

 

위의 방법 말고도 주석 " --(공백) "을 헥사 코딩하여 을 사용해도 상관없습니다. " - " 의 경우 %2d를 의미하며 공백은 %20으로 하면 되기에 동일하게 admin 이후로 주석 처리합니다.

Exploit Code

id=admin'%23&pw=
id=admin'%2d%2d%20&pw=