Raining_93

1. 문제 설명

이번 문제도 SQLi 문제이다.

문제를 클릭해보자.

문제를 클릭하면 다음과 같은 화면을 볼 수 있었다.

이게 뭐지?

done! (0/70)??

뭔가 시도 횟수를 의미하는것 같았다.

역시나 뭐 별 다른 기능이 없어 view-source를 클릭해서 소스코드를 보았다.

역시나 소스코드가 길었다.

이럴때는 하나하나 분석을 해야한다.

$agent=trim(getenv("HTTP_USER_AGENT"));

$ip=$_SERVER['REMOTE_ADDR'];

if(preg_match("/from/i",$agent))
{
  echo("<br>Access Denied!<br><br>");
  echo(htmlspecialchars($agent));
  exit();
}

먼저 getenv 함수를 사용해서 HTTP_USER_AGENT 값을 가져온다.

가져온 값에서 trim 함수를 이용해서 나온 값을 agent라는 변수에 담는다.

그럼 getenv 함수와 trim 함수를 알아보자.

getenv 함수는 위와과 같이 정의 되어있다.

getenv 함수는 환경 변수의 값을 가져오는 함수이다.

그리고 인자 값에 가져오고 싶은 환경 변수 값을 적어주는데

문제에서는 "HTTP_USER_AGENT"가 인자로 들어가있다.

HTTP_USER_AGENT는 웹 사이트를 접속한 컴퓨터의 웹 브라우저 정보를 의미한다.

다음은 trim 함수이다.

trim 함수는 whitespace 즉 공백을 strip 하는 함수이다.

하지만 문장 가운데 존재하는 공백이 아니라 처음 시작과 끝의 공백을 제거하는 함수이다.

예를 들어,  __hello__라는 문장이 있다고 가정하자.

하지만 trim 함수를 사용하면 처음 시작 2개의 공백과 끝의 2개의 공백을 제거하여

다음과 같은 문장이 나온다.

여기까지 정리하자면 접속한 웹 브라우저의 정보를 읽어와 앞 뒤 공백을 제거한다는 의미이다.

다음 코드는 $ip=$_SERVER['REMOTE_ADDR'] 인데

REMOTE_ADDR는 웹 사이트에 접속한 컴퓨터의 ip 주소를 가져온다.

그 다음 preg_match 함수가 또 보인다. (preg_match -> 클릭)

regexp 하는 역할을 하는데 agent라는 변수에 들어간 웹 브라우저 정보에서 from을 필터링한다.

다음 코드를 보자.

$db = dbconnect();

$count_ck = mysqli_fetch_array(mysqli_query($db,"select count(id) from chall8"));

if($count_ck[0] >= 70)
{ 
  mysqli_query($db,"delete from chall8"); 
}

$result = mysqli_query($db,"select id from chall8 where agent='".addslashes($_SERVER['HTTP_USER_AGENT'])."'");

$ck = mysqli_fetch_array($result);

웹 브라우저 정보에 "from"이라는 단어가 없으면 dbconnect 함수를 이용해서 db에 접속한다.

그 후 다음과 같은 쿼리로 DB에 쿼리를 날린다.

말 그대로 chall8이라는 테이블에 id의 갯수가 몇개있는지 묻는 쿼리이다.

그 후 count된 id의 갯수를 count_ck라는 변수에 넣고

count_ck가 70개 이상이면 chall8 테이블을 삭제한다.

만약에 70개 미만이면 코드가 밑으로 내려와 DB에 다음과 같은 쿼리로 묻는다.

위의 쿼리의 의미를 해석 하기 전에 addslashes 함수에 대해서 알아보자.

addslashes 함수에 대한 설명은 여기에 자세히 설명이 되어있다. (클릭)

$_SERVER['HTTP_USER_AGENT']는 유저의 브라우저 접속환경을 의미한다.

브라우저 접속환경이 왜필요할까?

서버의 입장에서는 브라우저별로 스타일을 다르게 보여지게 하거나 필요한 동작이 다를 수 있다.

무튼 다시 쿼리문을 정리하자면 다음과 같이 정리할 수 있다.

그럼 해석 해보자면 chall8이라는 테이블에서 어떤 사용자의 user_agent 값이 있다면

그 user_agent 값을 가지는 id를 보여달라는것이다.

만약 나의 id는 test이고 user_agent값이 123123이라면

chall8이라는 테이블에서 agent의 값이 123123인 id는 누구냐라는 의미이다.

쿼리상 문제가 없으면 id값(test)이 이제 ck라는 변수에 들어가게된다.

다음 코드를 보자.

if($ck)
{
  echo "hi <b>".htmlentities($ck[0])."</b><p>";
  
  if($ck[0]=="admin")
  {
    mysqli_query($db,"delete from chall8");
    solve(8);
  }
}

if(!$ck)
{
  $q=mysqli_query($db,"insert into chall8(agent,ip,id) values('{$agent}','{$ip}','guest')") or die("query error");
  echo("<br><br>done!  ({$count_ck[0]}/70)");
}

ck 변수에 이제 값(id)이 있다면 누구인지 echo 함수를 이용해서 알려주고

만약에 admin이라면 chall8이라는 테이블을 삭제 시킨 후

solve(8)이라는 함수를 실행 시키면서 문제를 clear 할 수 있다.

하지만 ck라는 변수 즉 user_agent로 조회를 했을때 id가 없다면 insert 함수를 이용해서

chall8이라는 테이블에 agent, ip, id 값을 각각 넣어준다.

여기까지 정리하면 다음과 같다.

해당 문제는 id를 admin으로 맞춰줘야지만 solve(8) 함수를 실행시킬 수 있다.

그렇기 위해서는 admin의 user_agent 값을 알아야한다.

그 이유는 id를 뽑기 위해서는 밑의 쿼리를 사용해야하기 때문이다.

하지만 우리는 admin의 user_agent 값을 모른다.

아니면 chall8이라는 테이블에 admin이라는 id를 가진 값이 없을 수도 있다.

따라서 admin의 user_agent 값을 알아내던, chall8이라는 테이블에 id가 admin을 생성해줘야할것같다.

2. 문제 풀이

이번 문제를 풀기 위해선 2개의 가정을 생각해보았다.

1. chall8이라는 테이블에 id가 admin이 있을 경우 -> admin의 user_agent 값을 알아내야함 or 우회
2. chall8이라는 테이블에 id가 admin이 없을 경우 -> chall8에 id가 admin을 insert 해야함

위의 처럼 정리 해보았다.

확률상 1번일 확률은 적다고 생각했다.

왜냐하면 php 코를 봤을 때 admin의 user_agent를 알아내기 위한 방법이 현재로써는 보이지 않았다.

따라서 2번의 가정으로 문제를 풀어봤다.

그 이유는 php 코드를 봤을때 아래의 그림처럼 insert문이 존재했기 때문이다.

그리고 insert에서 사용자의 입력이나 값이 들어가는곳은 2곳이다.

agent와 ip이다.

ip는 서버에 접속한 클라이언트의 ip를 $ip=$_SERVER['REMOTE_ADDR']로 설정하기 때문에

ip에 SQLi를 하기는 어렵다고 생각하고 agent 변수에 

즉, user-agent 값을 수정해서 insert문을 이용해서 id가 'guest'가 아닌 'admin'으로 수정하려고한다.

user-agent 값을 수정하기 위해서는 web-proxy를 사용해야한다.

이렇게 웹 프록시로 보면 User-Agent에 접속한 브라우저나 환경 값들이 들어가 있다.

여기에 SQLi를 수행할것이다.

먼저 SQLi가 잘 먹히는지 확인하기 위해

프록시를 사용하여 User-Agent에 guest01이라고 입력하고 서버로 전송해보자.

chall8 테이블에 guest01이라는 user-agent값이 없으니 아래의 SQLi로 insert할것이다.

그렇다면 다시 guest01를 그대로 user-agent 값에 넣어서 서버로 전송하면 어떻게 될까?

chall8에 guest01이 라는 user-agent가 insert 되었기 때문에 "hi guest"라는 문구를 볼 수가 있다.

그렇다면 이제 user-agent를 변경해서 insert가 되는것을 확인했으니

chall8에 존재하지않는 user-agent 값과 뒤의 'guest' 부분을 'admin'으로 바꿔주고

다시 insert 했을때 사용했던 user-agent 값으로 변경하여 서버로 전송하면

"hi guest"가 아닌 admin이 될것이다.

페이로드는 다음과 같다.

이렇게 SQL문을 만들 수 있다.

뒤에 #이라고 넣어준 이유는 뒤에 남아 있는 원래의 SQL문을 주석 처리하기 위함이다.

이렇게 SQL문을 만들었으면 이제 직접 프록시를 이용하여 작성한 페이로드를 넣어보자.

guest02라는 새로운 user-agent 값과 아이피 주소, 그리고 guest가 아닌 admin을 넣어준다.

그 후 정상적으로 chall8이라는 테이블에 등록되었다는 done!이라는 문구를 볼 수 있다.

다시 guest02로 요청을 한다.

요청을 하게 되면 서버에서 clear 했다는 문구를 볼 수 있다.

1. 문제 설명

문제도 풀기도 전에 이제 바로 보자마자 SQLi 문제이라는 것을 알 수 있다.

클릭해보자.

Admin page라는 문구와 "auth"라는 버튼과 view-source가 있다.

별 다른 기능이 없으니 auth라는 버튼을 클릭해보자.

"Access_Denied!"라는 문구와 함께 alert가 떴다.

다음 시도해볼 수 있는 것이 없기 때문에 view-source를 클릭해 소스코드를 살펴보자.

참 소스 코드가 길다...

하나 하나 보자.

$go=$_GET['val'];

if(!$go) 
{ 
  echo("<meta http-equiv=refresh content=0;url=index.php?val=1>"); 
}

echo("<html><head><title>admin page</title></head><body bgcolor='black'><font size=2 color=gray><b><h3>Admin page</h3></b><p>");

if(preg_match("/2|-|\+|from|_|=|\\s|\*|\//i",$go)) 
  exit("Access Denied!");

$db = dbconnect();

$go=$_GET['val'];를 보아 일단 GET 형식으로 서버로 val라는 파라미터 값을 보낸다는것을 알 수 있다.

그리고 if문의 조건문에 go라는 값, 즉 사용자로부터 입력 받는 val 값이 없으면 다시 refresh 된다.

무조건 어떤 값이던지 넣어야지 다음으로 넘어갈 수 있다는 소리이다.

그후 preg_match라는 함수를 볼 수 있다.

PHP 공식 홈페이지에 보면 친절하게 설명이 되어있다.

regular expression을 수행하는 함수이다.

문제에서는 인자값이 2개가 들어간다.

각각의 인자값은 다음과 같다.

"/2|-|\+|from|_|=|\\s|\*|\//i"는 패턴을 의미한다.

$go는 사용자가 입력한 val 값이 들어가있다.

정리하자면 사용자가 입력한 val=go에 패턴 "/2|-|\+|from|_|=|\\s|\*|\//i"에

매칭이 되는것이 하나라도 있으면

exit("Access Denied!");가 실행된다.

패턴의 제일 앞에 2가 있으니 2로 테스트 해보자!

webhacking.kr/challenge/web-07/index.php?val=2라고 입력해보았다.

역시 "Access Denied!"라는 문구를 볼 수 있다.

그렇다면 어떤 글자가 매칭이 될까?

"/2|-|\+|from|_|=|\\s|\*|\//i"

일단 regex에서 패턴은 한 쌍의 슬래시(/) 문자 사이에 위치한다.

그 다음은 많이 보았던 | -> or이고 \s란 공백을 의미한다.

그 후 보이는 것은 i인데 나도 regex를 많이 사용해보지 않아서 i가 뭔지 궁금했다.

따라서 찾아보았다.

즉, 입력한 문자열을 패턴으로 검사하는데 검사할때 대/소문자를 구문없이 매칭한다는 말이다.

그렇다면 이제 큰 뼈대는 이해를 했고 이제 어떤것이 매칭이 되는지 살펴볼 차례이다.

"/2|-|\+|from|_|=|\\s|\*|\//i"

(문자를 필터링 하고 싶으면 \를 하나 추가해주어야한다.)

이렇게 총 9개의 문자들이 필터링 되어있다.

그 다음 DB랑 연결을 한다.

여기까지 정리하면 다음과 같다.

사용자가 입력한 val를 go라는 변수에 넣고 go라는 변수에 담긴 사용자값에서 

preg_match 함수를 이용해서 패턴에 매칭이되면 "Access Denied!"라는 문구와 함께 exit가 된다.

그럼 일단 무조건 preg_match 함수에 걸리지 않게 val를 입력해야할것이다.

다음 코드를 보자.

$rand=rand(1,5);

if($rand==1)
{
  $result=mysqli_query($db,"select lv from chall7 where lv=($go)") or die("nice try!");
}

if($rand==2)
{
  $result=mysqli_query($db,"select lv from chall7 where lv=(($go))") or die("nice try!");
}

if($rand==3)
{
  $result=mysqli_query($db,"select lv from chall7 where lv=((($go)))") or die("nice try!");
}

if($rand==4)
{
  $result=mysqli_query($db,"select lv from chall7 where lv=(((($go))))") or die("nice try!");
}

if($rand==5)
{
  $result=mysqli_query($db,"select lv from chall7 where lv=((((($go)))))") or die("nice try!");
}

$data=mysqli_fetch_array($result);

그 다음 rand 함수를 통해 1~5까지 수를 rand라는 변수에 넣는다.

그 후 총 5개의 if문이 있는데 어느 곳에 들어갈지는 5분의 1의 확률을 가지고 있다.

일단 어느 if문에 들어가도 query가 수행하는 행위는 같다.

rand가 1일때를 기준으로 설명하면 다음과 같다.

mysqli_query 함수로 DB 핸들러와 쿼리를 인자로 넣어주면

DB에 입력한 쿼리로 요청하게 되고 오류 없이 실행되면 true, 에러가 발생하면 false를 반환한다.

따라서 true로 실행이되면 쿼리 결과값을 result 변수에 넣는다. 

만약 false가 난다면 "nice try!"라는 문구를 볼 수 있다.

예를들어 val에 패턴에 없는 문자 ^를 입력해보자.

 위의 퀴리는 당연히 error가 날것이며 그렇다면 "nice try!" 문구를 볼 수 있어야한다.

이처럼 nice try라는 문구를 볼 수 있다.

다시 정상적인 SQL문을 살펴보자.

만약 별 문제가 없다면 chall7이라는 테이블에 존재하는 lv 컬럼에서

사용자가 입력한 값이 존재하면 출력해주는 간단한 쿼리이다.

그 다음 코드를 보자.

if(!$data[0]) 
{ 
  echo("query error"); exit(); 
}

if($data[0]==1)
{
  echo("<input type=button style=border:0;bgcolor='gray' value='auth' onclick=\"alert('Access_Denied!')\"><p>");
}

elseif($data[0]==2)
{
  echo("<input type=button style=border:0;bgcolor='gray' value='auth' onclick=\"alert('Hello admin')\"><p>");
  solve(7);
}

만약에 쿼리한 결과값이 없으면 "query error"가 출력되고 exit로 종료가 된다.

이제 쿼리한 결과값이 1이냐 2이냐로 나뉘는데

1이면 제일 처음에 봤던 "Access_Denied!"이라는 alert창을 볼 수있다.

하지만 2이면 "Hello admin"이라는 alert창이 나오면서 solve(7)이라는 함수가 실행되면서

문제가 풀릴것이다.

따라서 우리가 원하는 최종적인 목표는 쿼리 결과가 2가 나와야 한다는것이다.

여기까지가 PHP 소스코드 설명이였다.

그럼 문제를 어떻게 풀어야할까?

최종적으로 정리하면 다음과 같다.

1. val라는 값을 무조건 입력해야함.
2. 총 9개의 preg_match에 걸리지 않게 입력해야함.
3. rand 함수로 인해 총 5분의 1의 확률을 가짐.
4. 입력한 val=go가 쿼리상 에러가 있으면 "nice try!"를 볼 수 있음
5. 쿼리상 문제가 없으면 "query error", alert('Access_Denied!'), alert('Hello admin') 이 3개임
6. 최종적으로 쿼리한 결과값이 2가 되야함

위의 총 6개의 리스트를 가지고 문제를 풀어보자.

2. 문제 풀이

먼저 최종으로 쿼리한 결과값이 2가 되야한다.

그러기 위해서는 $go라는 곳에 2를 넣어야한다.

하지만 preg_match에 의해 2는 필터링되어 있다.

근데 위에처럼 정리를 해보니 -,+,*,/가 존재한다.

이걸보고 아 사칙연산을 통해 2를 구하는걸 막기위해서 넣은거구나라고 생각이들었다.

보안에서 mod는 많이 활용된다.

그렇다면 5%3, 11%3 등 mod를 통해서 2가 나오게 하면될것같았다.

따라서 11%3을 val에 넣어 서버로 전송해보았다.

"query eeror"라는 문구가 보인다.

그렇다면 총 5개의 if문에서는 아무런 쿼리 에러가 일어나지 않았으므로 이는 통과한것이다.

하지만 왜 정답에서 요구하는 2를 계산해서 $go에 넣었는데 왜 solve(7)이 실행이 안됬을까?

생각을 했다.

한참을 생각하다보니 조회하는 chall7 테이블에 lv 이름을 가진 컬럼 중 2가 없다는 소리이다.

따라서 아래처럼 11%3...을 통해서 저 쿼리문이 실행되고나면 결과값이 2가 나오게 해야한다.

또한 chr 함수를 이용해서 2를 표현 할 수 있다.

하지만 chall7에는 lv가 2인값이 없다.

그렇다고 insert를 할 수도 없고 따라서 union을 사용할 수 밖에 없다.

union이란 

영어 그대로 합동, 합친다는 의미로 2개의 select문을 합치는것을 말한다.

어떤 두 단체가 합병이나 합쳐질때는 서로의 이해관계나 기타 제약 조건이 반드시 따라온다.

크게 아래의 3가지로 볼 수 있다.

1. UNION 내의 각 SELECT 문은 같은 수의 열을 가져야 한다. 
2. 열은 유사한 데이터 형식을 가져야 한다.
3. 각 SELECT 문의 열은 또한 동일한 순서로 있어야 한다.

그렇다면 union을 이용해서 2를 출력하게 해보자.

위에서 %s로 인해 공백을 사용할 수 없으니 공백의 의미를 가지는 괄호를 이용할것이다.

일단 처음 select문을 거짓으로 만들어줘야한다.

왜냐하면 아무리 첫번때 select문을 2로 만들어도 값이 chall7에는 2가 존재하지 않는다.

따라서 첫번째 select문을 거짓으로 만들고 union으로 2번째 select문으로 2를 만들어줘야한다.

내가 만들어낸 페이로드는 다음과 같다.

이것을 조금 더 풀어서 설명하면 다음과 같다.

앞의 select문은 false로 무시가 되고 뒤의 select문은 쿼리상 문제는 없으니

2가 테이블에 없어도 출력이 된다. (이 이유 때문에 union을 사용)

출력이 된다는것은 result에 2가 들어간다는것이고 최종적으로 data[0]에도 2가 들어가

solve(7) 함수가 실행이되어 문제가 clear 될것이다.

하지만 위에 작성한 페이로는 rand 함수로 1이 된 경우이며

해당 if문에 가서 보면 괄호가 한쌍이다. ()

따라서 3 뒤에 괄호 1개를 입력한것도 그 이유이다.

끝으로 위의 페이로드를 val에 입력해도 정답이 될 확률 또한 5분의 1일것이다.

총 3번만의 시도 끝에 clear 했다.

3번 문제도 2번 문제와 같이 DB 그림이 있다.

따라서 이번 문제도 SQLi를 이용해서 문제를 푸는것 같다.

클릭해보자.

클릭해보니 이렇게 이상한 판이 나왔다.

처음에는 뭘까?하고 숫자가 입력이 되어있길래 나도 숫자를 입력해야하나? 싶어서

빈칸을 클릭해보았다.

근데 아래의 5*5만 클릭이 되었다.

숫자를 입력하는줄알았지만 이렇게 뭔가 규칙을 맞춰야하는것 같다.

하지만 아직도 지뢰찾기나 이런 규칙이 있는 퍼즐? 퀴즈? 같은걸 별로 안좋아한다.

따라서 위의 그림처럼 그냥 다 클릭하고 solved라는 버튼을 클릭해보았다.

solved를 클릭하면 GET 형식으로 다음과 같은 URL로 서버로 요청한다.

https://webhacking.kr/challenge/web-03/index.php?_1=1&_2=1&_3=1&_4=1&_5=1&_6=1&_7=1&_8=1&_9=1&_10=1&_11=1&_12=1&_13=1&_14=1&_15=1&_16=1&_17=1&_18=1&_19=1&_20=1&_21=1&_22=1&_23=1&_24=1&_25=1&_answer=1111111111111111111111111

그리고 브라우저에서는 다음과 같은 모습을 볼 수 있다.

여기까지 정리하면

총 5*5 빈칸 하나가 의미하는건 URL의 파라미터에 _1, _2 ... 이렇게 표현이 되는것 같다.

예를들어 첫번째칸은 파라미터 _1...

그리고 클릭을 해서 검은색으로 되면 파라미터 값은 1이 되고 클릭이 안되면 0이 되는것 같다.

그리고 5*5이기 때문에 _1,_2...._25를 전부 합친것이

answer=1111111111111111111111111로 표현되는것 같다.

페이지 소스를 봐도 go()라는 함수가 사용자가 클릭한 칸을 전부 합쳐서

문자열로 1111111111111111111111111을 만들어 주는것 같다.

그래서 _1과 _2..._25에 SQLi를 수행 보았다.

근데 별 다른것이 없었다...

마찬가지로 answer에도 SQLi를 수행 보았다.

여기서도 별 다른 반응이 없었다.

그럼 어떻게 할까?

저 퀴즈를 풀어야하나???

근데 풀기가 너무 귀찮아서.

brute force로 그냥 보내버릴까? 해서 코드를 작성을 해보았다.

근데 짜던 도중 생각해보니 표현 할 수 있는 숫자는 0, 1이고 자릿수는 25자리다.

그럼 brute force를 수행한다면...  엄청 낭비다..

따라서, 퀴즈를 풀어야할것같다...

뭐 여러 사이트를 참조하고 문제를 푸는 방법을 익힌 후 문제를 풀고 solved를 눌러보았다.

이렇게 Clear 했다는 문구와 함께 log를 남기기 위해 이름을 입력하라는 문구가 나오고

submit 버튼이 나왔다.

따라서 test!!라고 입력을 해보았다.

test!!라고 입력해본 결과 입력한 이름 test!!과 아까 퀴즈에서 풀었던 answer와 ip가 log처럼 남겨졌다.

log을 남기기 위해 submit을 클릭했을때 발생하는 패킷은 다음과 같다.

POST 형식으로 answer에는 아까 퀴즈에서 푼것이 들어가있으며

파라미터 id에는 앞에서 입력한 test!!가 URL 인코딩 되어 있다.

여기까지 정리해보자면

URL: https://webhacking.kr/challenge/web-03/index.php?_1=1&_2=1&_3=1&_4=1&_5=1&_6=1&_7=1&_8=1&_9=1&_10=1&_11=1&_12=1&_13=1&_14=1&_15=1&_16=1&_17=1&_18=1&_19=1&_20=1&_21=1&_22=1&_23=1&_24=1&_25=1&_answer=1111111111111111111111111

1. 위의 URL 파라미터에서는 SQLi가 발생하는 곳은 없었다.
2. 퀴즈를 풀고 나니 log를 남길 수 있는 곳을 찾았다.
3. log를 남길때 발생하는 패킷에 answer과 id라는 파라미터 2개가 생겼다.
4. 3번에서 찾은 파라미터 2개에 대해서 SQLi를 수행해보자.

이렇게 answer의 마지막에 SQLi를 테스트하기위해 '를 입력하고 서버로 요청해보았다.

이렇게 query error!라는 문구와 함께 오류가 난다.

여기다! (Point 1)

여기서 SQLi를 수행하면 될것 같다.

이렇게 answer에 1'+and+1=1#이라고 입력을 해주었다.

하지만 이렇게 빈 페이만 나온다.

쿼리가 오류이면 분명 query error!라는 문구가 보일 것인데 보이지가 않았다.

다음은 answer에 1'+and+1=0#을 입력해보았다.

1'+and+1=1#나 1'+and+1=0#이 해당 쿼리를 만들어낸 과정은 다음과 같다.

1. 원래의 answer 끝에 '를 삽입하자 query error!라는 문구가 보임.
2. 따라서 여기서 SQLi를 수행.
3. '를 삽입했으니 원래의 정상적인 쿼리 마지막에는 '가 한개가 남음.
4. 이 마지막 한개의 '를 처리하기 위해 주석인 #을 추가함.

결과는 또 빈페이지...

뭘까? 하고 생각을 해보았다.

log에서는 3개를 볼 수있었다.

입력한 이름(id)와 answer 마지막으로 ip 이렇게 3개를 볼 수 있었는데

내가 입력한 answer에 1'+and+1=1#, 1'+and+1=0#이 잘 먹힌지를 보기위해서는

먼저 log에 answer가 1이라는것을 먼저 등록을 해주어야 참/거짓의 반응을 살펴 볼 수 있을것 같다.

이렇게 answer에 1을 넣고 id에는 test를 넣고 먼저 서버로 보내 log를 남겼다.

서버에서는 쿼리상에 문제가 없기 때문에 이렇게 log를 남겨준다.

이제 다시 answer에 1'+and+1=1#, 1'+and+1=0#이 잘 먹히는지 살펴보자.

위의 그림에서 answer 부분이 1' and 1=1# and 기준으로

왼쪽 오른쪽이 참이기 때문에 위에서 남긴 로그가 나와야한다.

이렇게 잘나왔다.

이제 1'+and+1=0#를 입력하고 서버로 요청해보자.

여기서 만약에 빈페이지가 나온다면 여기서 SQLi를 수행하는것이 확실해 진다!

빈페이지가 나오는것으로 보아 여기서 SQLi를 수행하는것이 확실해 졌다.

따라서 앞의 문제처럼 DB명의 길이와 DB명을 알아보자!!

코드를 작성하여 DB의 길이를 알아내보니 10자리였다.

이제 DB의 길이를 구하고 이제 DB 명을 알아내야한다.

근데 가만히 생각을 해보니 이번 문제가 DB명을 알아내고 table명, column명을 알아낼 필요가 있을까?

뭔가 위의 과정을 통해 answer라는곳에 SQLi를 하는건 맞는거같은데..

flag값처럼 출제자가 원하는 answer라는 값을 알아내야하는건가?

그러면 DB명과 table명, column명을 알아내서 answer라는 값을 알아내야하는건 맞다.

근데 answer라는 값을 항상 참으로 만들면???

그래서 answer에 아래와 같이 1'or+'1를 넣어봤다.

풀렸다...

첫번째 문제는 php로 되어있었다.

두번째 문제는 DB 그림이 존재하는것으로 보아.

SQLi 공격을 이용해야할듯하다. (이것 또한 힌트일 수 있다.)

2번째 문제를 클릭해서 들어가보면 다음과 같은 문구를 볼 수 있다.

근데 이게 전부???

아무런 기능이 없다...

따라서 할 수 있는거는 페이지 소스라도 봐야한다.

페이지 소스를 보니 주석으로 admin.php라는 페이지가 있다고 친절하게 알려준다.

따라서 https://webhacking.kr/challenge/web-02/admin.php에 에 접속해보자. 

접속하면 다음과 같이 볼 수 있을것이다.

패스워드를 입력하라고한다.

여기서도 마찬가지로 페이지 소스를 보았다.

위의 페이지 소스를 보아하니 여기서는 딱히 얻을 힌트는 없어 보인다.

따라서 처음 문제에서 힌트(DB)를 얻었던것을 생각해 SQLi를 수행보았다.

하지만 아무런 반응을 볼 수 없었다.....

따라서 다시 처음으로...

아무리 생각해도 패스워드를 입력하는곳에서 SQLi를 수행하는것이 맞는거같은데... 하면서

혹시 몰라서 쿠키값을 보았다.

쿠키값을 보니 현재 timestamp가 적혀있다.

timestamp값을 알아보니 처음 페이지 소스보기에서 주석처리로 되었던 시간과 똑같이 적혀있었다.

따라서 쿠키값을 임의의 숫자인 123456789를 입력하고 다시 페이지 소스보기를 눌러보았다.

그러니 다음과 같이 페이지 소스에 시간이 반영이 되었다.

따라서 여기서 힌트를 얻었다. (Attack Vector)

힌트를 조금 알기쉽게 풀어 설명하면,

time이라는 쿠키값에 시간이나 어떤 값을 입력하면

페이지 소스보기의 시간을 출력(서버의 반응)을 볼 수 있다는 것이다.

여기까지의 내용으로 정리하고 가정을 세워보면 다음과 같다.

1. 해당 문제의 그림에서 DB가 나왔기 때문에 해당 문제는 SQLi를 이용해야한다.
2. 하지만 어디에서 SQLi가 발생하는지는 알 수 없다.
3. 패스워드를 입력하는곳에 SQLi 공격을 수행해보았지만 딱히 별다른것이 없다.
4. time이라는 쿠키값에 사용자가 입력한 timestamp가 반응을 보인다.
5. time이라는 쿠키값을 가지고 SQLi를 수행해본다.

먼저 true, false 반응이 나오는지 보기 위해서

원래의 timestamp 뒤에 and 1과 and 0을 삽입하여 페이지 소스 보기 살펴보자.

예를들어 현재 기준으로 1634532456라는 time이 나와있을때는 참이다.

왜냐? 서버에서 미리 쿠키값을 설정했기때문이다.

따라서 1634532456 and 1을 넣었을때 참이면 페이즈 소스 보기에서의 시간이 나오는 주석에는

2021-10-18 01:47:36가 보일것이고 1634532456 and 0,

즉 false일때는 2021-10-18 01:47:36가 아닌 다른 값이 나와야한다.

만약 1634532456 and 0가 false인데도 2021-10-18 01:47:36가 나온다면

true/false를 알 수 없기 때문에 다른 방법으로 찾아봐야할것이고

SQLi 공격으로 푸는 문제가 아닐 수 있다.

그럼 time이라는 쿠키에 1634532456 and 1를 넣어보자.

예상했던거와 달리 1634532456 and 1(true)를 입력하니 2021-10-18 01:47:36가 나오지 않고

2070-01-01 09:00:01가 나왔다.

????

그럼 1634532456 and 0(false)인 경우일 때는 어떤지 보자.

이번에는 2070-01-01 09:00:01이 아니라 2070-01-01 09:00:00가 나왔다.

그럼 여기까지 정리를 해보면 true(참)일 경우에는 2070-01-01 09:00:01이 나오고 

false(거짓)일 경우에는 2070-01-01 09:00:00이 나온다.

그렇다면 time이라는 곳에 timestamp 값 말고 1=1, 1=0 true, false를 입력해도 값을까?

넣어보니 같았다. (Point 1)

따라서 이것을 기준으로 삼아 SQLi를 수행해보자. 

먼저 패스워드를 알려면 DB명도 알아야하고 table 명도 알아야하고 column명도 알아야 하고

각각의 이름을 알려면 길이 또한 알아야한다.

따라서 갈길이 먼것같다. 그리고 이렇게 푸는게 아직 맞는지도 모르겠다.

DB명을 알아내는것으로 해당 문제가 쿠키값에서 SQLi를 진행하는지

또한 2번 문제가 SQLi로 푸는건지 판단할 수 있을것 같다. 

일단 해보자.

일단 DB 길이를 알아내기 위해서 length(database())=DB 길이를 이용할 것이다.

EditThisCookie에 하나 하나 대입하는것보다 그냥 코드로 짜서 돌리는게 편할것같아 코드로 돌려버렸다.

코드로 DB의 길이를 알아보니 6자리임을 알 수 있었다.

자리수를 알아냈으니 DB명을 알아보자.

코드를 작성해서 알아본 결과 DB명은 다음과 같이 chall2라는것을 알 수 있다.

DB명을 알아냈으니 이제 테이블 구조를 살펴보자.

먼저 chall2이라는 DB에 몇개의 테이블이 있는지 테이블의 길이를 구해보자.

테이블 길이와 테이블 명, column 길이와 명을 알아내는 방법은 여기(클릭)에 가서 참고하자!

코드를 작성한 결과 0번째 테이블의 길이 즉, 첫번째 테이블은 13자리, 2번째 테이블 길이는 3개이다.

나머지는 1로 보아 1번째, 2번째 테이블에 우리가 원하는 패스워드 값이 있을것이라고 추측해본다.

따라서 먼저 첫번째 13자리의 테이블명을 알아보자.

13자리의 테이블명은 admin_area_pw이다.

여기에 우리가 원하는 패스워드가 있을것같다.

테이블 명을 알았으니 이제 admin_area_pw의 존재하는 column의 갯수와 길이와 이름을 알아야한다.

먼저 column의 갯수는 1개이다.

길이는 2자리이다. (뭔가 느낌상 column명이 pw인것 같다.)

역시 코드를 작성해서 실행해본 결과 컬럼명이 pw로 나왔다.

이제 해당 pw를 알아내면 끝이다!!

pw를 알아내기 위해서는 길이를 먼저 알아야한다.

이렇게 총 길이는 17자리이다.

이제 pw의 값을 알아보자!

코드를 작성해서 돌려본 결과 다음고 같이 pw값이 나왔다.

위의 pw값을 https://webhacking.kr/challenge/web-02/admin.php에 입력해보자.