[LOS] Golem 풀이(11)

11번째 문제인 " golem " 문제를 확인해보면 2가지 검증절차를 거치고 있습니다.

 

if(preg_match('/prob|_|\.|\(\)/i', $_GET [pw])) exit("No Hack ~_~"); 
if(preg_match('/or|and|substr\(|=/i', $_GET[pw])) exit("HeHe");

검증하고 있는 문구들을 확인해보면 주로 사용되는 연산자인 " or, and, = " 그리고 문자열을 출력해주는 함수인 " substr " 까지 검증을 하고 있습니다.

 

전 단계의 레벨에서는 or와 and 연산자 대체 기법을 사용했지만 substr 함수까지 우회해야 되니 좀 더 까다로워졌다고 볼 수 있습니다.

 

$query = "select pw from prob_golem where id='admin' and pw='{$_GET[pw]}'"; 

현재 admin 계정으로 선언이 되어 있는 상태이며 " pw " 변수를 활용해서 적당한 쿼리문을 삽입하면 될 것 같습니다.

 

if(($result ['pw']) && ($result ['pw'] == $_GET ['pw'])) solve("golem");

또한 문자열 추출을 해주는 substr 함수를 보면 어느정도 예측할 수가 있으며 입력된 패스워드와 DB 내에 있는 패스워드 값이 동일해야 되기에 BSQLi 기법을 활용해서 참, 거짓 값으로 패스워드를 유추해야 됩니다.

 

필터링 우회

or --> || 파이프 기호 사용
and --> && --> %26%26
= --> like 또는 between 을 사용
substr --> right, left, mid 등 을 사용

left: 문자에 왼쪽을 기준으로 일정 갯수를 가져오는 함수
mid: 문자에 지정한 시작 위치를 기준으로 일정 갯수를 가져오는 함수
right : 문자에 오른쪽을 기준으로 일정 갯수를 가져오는 함수.
ord : 아스키 코드 값을 반환하는 함수

검증하고 있는 연산자들을 다른 기호로 대체하여 쿼리문을 완성해주면 됩니다.

 

위의 결과 사진은 admin 계정의 패스워드 길이를 유추하기 위한 것이며 위의 경우 패스워드가 5자리가 아니기 때문에 거짓, 즉 아무 반응이 없지만 패스워드 길이가 8자리인지 확인해보자 " Hello admin " 이라는 문구가 성공적으로 도출되었습니다.

 

패스워드 길이를 알아냈으니 이제 " burp suite "  의 " cluster bomb " 기능을 사용해서 지정시킨 값을 하나씩 증가시켜 사용하고 있는 패스워드를 유추해보도록 하겠습니다.

 

Input Code

' || id like 'admin' %26%26 length(pw) like '5'%23  --> TRUE
' || id like 'admin' %26%26 length(pw) like '8'%23  --> FALSE

 

도출시킨 패스워드를 ascii 코드로 변환하여 비교하는 방식을 사용했지만 이번에는 " substr " 함수가 아닌 mid 나 left, right 를 사용해야 됩니다.

 

Exploit Code

' || id like 'admin' %26%26 ascii(mid(pw,1,1)) like 47%23

32 ~ 47 : 특수문자 (space,!, ", #, $, %, & 등)
58 ~ 64 : 특수문자 (:, ;, <, =, >, ?, @)
123 ~ 126 : 특수문자 ({, |, }, ~)
48 ~ 57 : 숫자 (0 ~ 9)
65 ~ 90 : 영어(대문자) (A ~ Z)
97 ~ 122  : 영어(소문자) (a ~ z)

도출된 ASCII 값에 대해 원복후 패스워드에 입력하면 성공적으로 Clear할수 있게 됩니다.