addslashes 함수가 포함되었다. SQLite 에서는 MySQL 과는 다르게 '\'가 이스케이프 문자로 활용되지 않는다고 한다. 그냥 싱글쿼터를 이용하여 id를 탈출하면 되겠다. id='&pw= union select 0x61646d696e--' and pw='' 위와 같이 query 를 전달했더니 문제가 풀리지 않는다. MySQL 에서는 문자열을 전달할 때 16진수로 전달할 수 있었다. 그러나 SQLite 환경에서는 이것이 통용되지 않는 것 같다. char 함수를 사용하여 addslashes에 걸리지 않게 하는 방법을 사용해야 할 것이다. id='&pw= union select char(0x61,0x64,0x6d,0x69,0x6e)--
이 친구도 그다지 복잡하지 않은 친구이다. 역슬래시로 id 영역의 싱글쿼터를 벗어나는 방법은 WAF(Web Application Firewall)에 걸리지 않는 것 같다. Blind SQL Injection 형식의 문제이니 pw를 모두 구해야 한다. 우선 길이부터 구하자. id=\&pw= or id="admin" and length(pw)>'0 아주 예쁘게 나온다. 이후에는 pw를 구하는 코드를 짜면 될 것 같다. pw를 구하는 payload 구성 방식에는 다음과 같은 방식들이 있을 것이다. substr 함수를 사용 pw like "X%" - like문과 와일드카드 이용 pw rlike "^X" - 정규표현식과 rlike 이용 bin(ord(substr())) 함수를 이용 - 2진수로 검색 이번에는 그냥..
얘도 뭐 별거 없다. md5 가 나와서 반가움의 인사만을 건네었다. id=\&pw= or id=0x61646d696e%23
갑가지 WAF를 우회할 수 있겠냐고 묻는다. 진짜 쫄았다. Web Application Firewall 은 웹 서비스와 주고 받는 트래픽들을 필터링 및 감시, 차단하는 방화벽의 한 형태라고 한다. 근데 뭐 필터링도 뭐 없고 문제도 너무 간단해 보이길래 몇가지 공격을 해보았더니 2~3회만에 뚫렸다. 공격에 실패하여 방화벽에 막히면 다음과 같은 화면으로 exit 되는 것 같다. 성공한 payload 는 별것 없다. 그냥 역슬래시를 사용하여 가운데를 통채로 날리면 된다. 예전에 있던 문제 유형이다. id=\&pw= or 1%23
