12번째로 푼 문제이다!
tmitter
(tmitter)
아래는 문제 페이지이다.
(문제 페이지)
문제 페이지 보니 로그인하는 버튼과 회원가입하는 버튼이 있다.
회원가입 페이지에 들어가서 이것저것 해보다가 소스코드를 보니 힌트가 있었다.
(힌트)
개인적으로 나에게 이 힌트가 매우 컸다.
이곳저곳 쑤시지 않고 여기만 공략하면 됬기에!! ㅎㅎ
admin 으로 회원가입을 하라는 말이다.
그렇다면 해보자!
(거부)
admin 계정이 이미 있다고 나온다.
역시..
그렇다면 분명 select 쿼리가 날라가서 db를 검색하여 자료가 있으면 이미 존재한다고 나오는거겠지??
라는 생각이 들었다.
흠 우선 admin' # 을 넣어 오류를 내보자!
(sql injection)
응??
' 앞에 역슬래쉬가 붙었다.
이 워게임 사이트 앞에서 php 코드를 살펴보니 그 injection 방지용으로 어떤 함수를 잘 쓰던데 그거 썻나보다. ' 앞에 이스케이프 된다.
그렇다면 널바이트는 어떻게 될까? 널바이트는 포스트로 전달 못하니
버프슈트를 이용해서 널바이트를 추가해서 보내보자!
(널바이트 삽입)
결과는...
(결과)
널바이트앞에도 이스케이프 문자가 붙는다.
역시..! 그 mysql_real_escape_string()을 쓰는거 같다.
아그러면 or나 이런거도 붙을텐데... 고민이 들었다.
일단 이 함수의 우회법은 안다.
바로 싱글 쿼터 앞에%bf를 넣어주면 %bf가 이스케이프 문자와 합쳐져서 싱글쿼터가 살아남는다.
그 뒤에 && 0 을 추가시켜주어 select 문에 아무것도 안나오게하고
그래서 회원가입이 되게 하는게 나의 전략이다.
(sql injection)
실행결과 회원가입이 되었다.!
정한 비밀번호로 로그인을 해보면
(로그인)
로그인이 되고 flag를 찾을 수 있다.!
(문제 해결)
'WarGame > 500 Project' 카테고리의 다른 글
| (14/500) Wargame.kr - strcmp (0) | 2017.04.16 |
|---|---|
| (13/500) Wargame.kr - SimpleBoard (0) | 2017.04.16 |
| (11/500) Wargame.kr - type confusion (0) | 2017.04.15 |
| (10/500) Wargame.kr - md5 password (0) | 2017.04.14 |
| (9/500) Wargame.kr - md5_compare (0) | 2017.04.13 |