Lord of SQLinjection - assassin

https://los.rubiya.kr/chall/assassin_14a1fd552c61c60f034879e5d4171373.php 

https://los.rubiya.kr/chall/assassin_14a1fd552c61c60f034879e5d4171373.php

 

패스워드를 입력을 받는데 '를 금지하고 있어서 다른 쿼리문을 넣는 게 힘들다. 

문제에서 실행되는 쿼리문을 잘 살펴보면 pw가 =가 아닌 like로 일치하는 조건을 구하고 있다. 

 

 

LIKE는 =와 다르게 특정 문자가 포함이 되어있어도 조건을 참으로 만들 수가 있다. 

 

예를 들어 A로 시작하는 문자를 찾고 싶다면 A%

A로 끝나는 문자를 찾고 싶다면 %A

A가 포함하는 문자를 찾고 싶다면 %A%

이런 식으로 말이다. 

 

 

또한 _를 이용해 패스워드의 길이 또한 구할 수가 있는데 

찾고자 하는 값의 길이에 맞춰서 _를 써주면 조건이 참이 되게 된다. 

1에서부터 8개까지 넣어주니깐 Hello guest가 나오는 것을 보니 비밀번호는 8글자이다. 

 

 

 

나는 우선 비밀번호의 길이를 찾기 이전에 admin의 비밀번호에 포함하는 문자를 검색해 보았는데

이런 식으로 패스워드에 9가 포함하는 것을 찾는 방법으로 

하지만 아무리 모든 문자를 입력을 해주어도, 해당하는 유저를 찾지 못하거나 나와봤자 다 guest일 뿐이었다. 

 

이를 추측해 보면 admin과 guest는 서로 비밀번호에 들어가는 문자 요소들이 똑같다는 것이다. 여기서 서로 문자의 위치가 다르고 

 

그렇게 해서 각 비밀번호의 문자 위치마다 문자들을 모두 대입해봐서 guest와 admin을 구분하도록 해보았다. 

guest의 비밀번호는 1234ABCD이고

admin의 비밀번호는 1234BACD일 경우에 앞에 1234는 동일하지만 중간에 문자는 다르기 때문에 분명 구분을 할 수가 있을 것이다. 

 

 

import requests

parameter = None



cookie = {'PHPSESSID':'자신의 쿠키 값을 입력'}

result = None

solve = ""
	
for i in range(8):
	

	for ascii in range(48, 112+1):
		print(ascii)
		parameter = "?pw=" + ("_" * i) + "{}%".format(chr(ascii)) + ( "_" * (7 - i) )
		url = "https://los.rubiya.kr/chall/assassin_14a1fd552c61c60f034879e5d4171373.php" + parameter
		result = requests.get(url=url, cookies=cookie).text
		print(parameter)
		if "Hello admin" in result:
			print("success!")
			exit(0)

이렇게 파이썬으로 간단한 자동화 도구를 만들어 주었다. 

 

a%_______ 이런 식으로 각 자리에는 64개의 문자가 들어가게 될 것이고, 

시도를 끝에 첫 번째 자리에도 Hello admin이 나오지 않는다면 바로 다음 열로 이동하는 방식이다. 

_%a______

 

총 8 * 64(512)번 시도하게 된다.