교수님 이건 아니잖아요

비밀번호를 맞춰야하고, 여러가지 특수기호가 막혀있다. or, and, substr(, = substr함수가 막혀있는 걸 보면 blind SQL 인젝션인 것 같다. =은 like로 우회가 가능하다고 한다. pw=2' || id like 'admin'%23 blind SQL인젝션이 맞다. 이제 막혀있는 것들을 잘 우회해서 풀어보자. 비밀번호 길이 pw=2' || id like 'admin'%26%26length(pw) like 8%23 &&은 %26%26로 우회해줬다. 8글자다. 이제 자동화 프로그램을 돌려서 비밀번호를 알아내자. import requests headers = {'Cookie' : 'PHPSESSID=쿠키;'} url = "https://los.rubiya.kr/chall/golem_4b52..

힌트가 document.write이다. 이걸 이용해서 공격하는 것 같다. document.write는 를 \x3c, \x3e로 입력해도 인식이 된다고 한다. (이걸 모르고 한참 삽질했다..) 그런데 \x3c에서 \가 필터링 되는지 없어져서 두 개를 썼더니 인식이 됐다. 공격 코드 document.wirte(\\x3cscript\\x3ealert(document.domain);\\x3c/script\\x3e); 클리어!

뒤에 1=0은 주석으로 날리라고 힌트를 주는 것 같다. ?id='g'&pw=' or id='admin'%23 앞부분은 그렇게 중요하지 않고 pw에서 쿼터만 잘 맞춰주면 되는 문제였다. 뒤에 admin을 적을 때 싱글 쿼터를 적지 않으면 클리어되지 않는다. pw=' or id='admin'%23 이것도 클리어가 가능했다.

이번에도 id를 admin으로 만들어야 한다. str_replace() 라는 함수가 생겼는데, 문자열을 치환하는 함수라고 한다. 1번째 인수 : 변경대상 문자 2번째 인수 : 변경하려는 문자 3번째 인수 : replace가 바꾸고자 하는 문자열 $_GET[id] = str_replace("admin","",$_GET[id]); 이 부분을 보면 admin으로 들어온 변수를 ""으로 바꾸는 것 같다. 실제로 admin을 입력하면 이렇게 된다. ?id=admin 다른 문자를 입력했을 경우 ?id=admi 이 함수를 우회하면 될 것 같다. 우선 대문자는 통하지 않았다. xss에서 써본 적이 있는데, adadminmin 이렇게하면 필터링 되는 값은 없어지고 나머지가 남아 우회가 가능하다. ?id=adadminmi..

id를 admin으로 만들면 풀린다. admin 자체에 필터링이 걸려있는데 우회하면 될 것 같다. 인코딩해서 우회해보려 했는데 입력 값이 그대로 보이기 때문에 우회하기가 쉽지 않았다. 생각보다 간단하게 우회할 수 있었다. 데이터베이스는 대소문자 구분이 없기 때문에 Admin이나 ADMIN 등으로 우회할 수 있다. 클리어!

Hint : s/(url|script|eval|expression)/xxx/ig; 역시 브라우저 문제로 의도한 대로 풀 수 없어 onclick 속성을 사용했다. 더보기 xss:expre/**/ssion(window.x?0:(alert(document.domain),window.x=1)); 원래는 expression을 사용하는 것 같다. 다만 xxx로 필터링 되는 것을 막기 위해 /**/(주석)으로 우회할 수 있다. https://mins4416.tistory.com/132 다른 풀이도 대부분 epression을 주석으로 우회하는 풀이였다. https://blog.csdn.net/fengzilin1973/article/details/116354758

배경색을 지정할 수 있다! 감이 잘 안와서 힌트를 확인했다. Hint : style attribute 스타일 속성을 이용하는가보다. onclick을 이용해 풀었다. style 속성을 ;로 끝내고 onclick=alert(document.domain)을 썼다. 문제 의도를 보면 다음 방식으로 푸는 거 같은데 뭐가 문제인지는 모르겠지만 통하지 않았다. background:red;background:url("javascript:alert(document.domain);");

id도 admin으로 만들어야 하고 비밀번호도 맞아야 한다. or랑 and는 필터링된다. pw=1' || id='admin 이것도 blind sql injection인가보다. 패스워드 길이를 알아내야 하는데 저번처럼 length(pw)=1 같은 방식으로 알아내보겠다. &가 GET방식으로 전달되지 않는다고 한다. 어쩐지 안되더라니... %26으로 변환해서 보내주었다. 참고로 #도 %23으로 바꿔줘야 한다. pw=3' || id='admin'%26%26length(pw)=8%23 순조롭게 8자리인 것을 알아냈다. los_orge.py import requests url = "https://los.rubiya.kr/chall/orge_bad2f25db233a7542be75844e314e9f3.php?pw=" ..

보다시피 특수문자를 필터링하는 것 같다. ", >,

id를 admin으로 만들어야 한다. or와 and를 필터링한다. or와 and는 ||와 &&으로 우회할 수 있다. 몇번 시도한 끝에 ||를 써서 풀 수 있었다. or만 우회하면 공격 자체는 이전과 비슷해서 금방 풀 수 있었던 것 같다. pw=2' || id='admin'%23 아래 방법도 가능하다. pw=2' || id='admin