☁️ Guleum LAB

18번째 문제인 "nightmare"입니다. if(preg_match('/prob|_|\.|\(\)|#|-/i', $_GET[pw])) exit("No Hack ~_~"); if(strlen($_GET[pw])>6) exit("No Hack ~_~"); "pw" 변수에는 _ . () # - 같은 기호들을 검증하고 있습니다. 또한 GET [pw]>6처럼 입력값 길이를 검증하고 있기 때문에 6글자를 넘어가면 No Hack이라는 페이지로 넘기고 있습니다. 문제 1. 우선 입력값 길이 제한을 맞춰야 하기 때문에 기본적인 "참" 구문인 or 1=1 은 불가능할 것으로 보입니다. 문제를 해결하기 위해선 if($result['id']) solve("nightmare"); 처럼 admin 이 아닌 아무런 계정으로 접근..

14번째 문제인 " giant "입니다. if(strlen($_GET[shit])>1) exit("No Hack ~_~"); if(preg_match('/ |\n|\r|\t/i', $_GET[shit])) exit("HeHe"); 이번에는 id 나 pw 변수가 아닌 shit 이라는변수를 사용해야 되며 입력되는 값의 길이는 1보다 길면 " No Hack " 이라는 문구를 띄우고 있습니다. 또한 |\n|\r|\t/ 등 여러 공백 우회 기법을 차단하고 있기에 허용가능한 공백 구문을 찾아야 합니다. $query = "select 1234 from{$_GET[shit]}prob_giant where 1"; if($result[1234]) solve("giant"); 문제를 해결하기위해선 결괏값에 1234 가 출력..

10번째 문제인 " skelton "입니다. if(preg_match('/prob|_|\.|\(\)/i', $_GET [pw])) exit("No Hack ~_~"); 검증되는 문자열을 확인해 보면 이처럼 특수기호 몇개만 검증을 하고 있습니다. $query = "select id from prob_skeleton where id='guest' and pw='{$_GET [pw]}' and 1=0"; 우리가 사용할 변수는 " pw='{$_GET[pw]} " 이 부분을 사용하면 될 거 같지만 " and 1=0 " 연산자가 포함되어 있기 때문에 '1'='1' 형태의 참값을 대입해도 거짓 값으로 인식을 하고 있습니다. if($result ['id'] == 'admin') solve("skeleton"); 또한 ..

preg_match 함수에 선언되어 있는 필터링 항목들을 보면 전 단계와 크게 차이 없어 보입니다. 하지만 pw=에 md5('')가 선언되어 있는 것을 확인할 수 있습니다. 전 단계 레벨에서 사용했던 방식으로 쿼리문을 삽입해보면 md5('') 값 덕분에 구문이 성공하질 않고 있습니다. 괄호 구분이 명확하지 않은줄 알고 괄호로 구분해 봤지만 rubiya를 환영한다는 문구가 나오고 성공되었다는 문구는 나오지 않습니다. 소스 부분을 제대로 확인해보니 [ id ] == admin으로 된 것으로 보아 입력되는 id는 "admin" 이여야 된다는 것을 뒤늦게 깨달았습니다. 또한 왜 입력되는 쿼리문에 md5('') 가 있는지 생각해봐도 존재의 의미를 알 수가 없었지만 단순 문제 해결을 막기 위한 디펜스 같은 역할로 ..

첫 번째 단계인 gremlin에서 preg_match 함수를 보면 별다른 입력값 검증을 하지 않고 ID와 PW 부분에 쿼리가 바로 삽입되고 있기에 삽입되는 쿼리문이 " 참 " 값을 가지도록 " or " 구문을 사용해서 작성해주시면 쉽게 통과됩니다. preg_match 함수에 지정해둔 ,/(\) 등 이 입력될 경우 " No Hack "이라는 문구를 띄우며 실패하고 있으니 해당 문구는 피해서 작성하면 되겠습니다. if(preg_match('/prob|_|\.|\(\)/i', $_GET[id])) exit("No Hack ~_~"); // do not try to attack another table, database! if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exi..