zombie_assasin

1. Code

<?php 
  include "./config.php"; 
  login_chk(); 
  $db = dbconnect();
  $_GET['id'] = strrev(addslashes($_GET['id']));
  $_GET['pw'] = strrev(addslashes($_GET['pw']));
  if(preg_match('/prob|_|\.|\(\)/i', $_GET[id])) exit("No Hack ~_~"); 
  if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~"); 
  $query = "select id from prob_zombie_assassin where id='{$_GET[id]}' and pw='{$_GET[pw]}'"; 
  echo "<hr>query : <strong>{$query}</strong><hr><br>"; 
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if($result['id']) solve("zombie_assassin"); 
  highlight_file(__FILE__); 
?>

 

---

2. Condition

• GET 파라미터 id, pw값이 addslashes함수와 strrev함수를 거친다.

 

---

3. Solution

문제 진행을 위해 php 함수인 addslashes와 strrev에 대해 간략히 설명하겠다.

 

 

addslashes

미리 정의된 문자(' " \ NULL) 앞에 backslash를 붙여, escaping 시키는 함수이다.

예시는 아래 표와 같다.

input	output
Hello world	Hello world
'apple'	\'apple\'
hihi%00	hihi%5c%00
"utopia'	\"utopia\'

 

 

strrev

입력된 문자열을 뒤집어주는 함수이다.

마찬가지로 예시는 아래 표와 같다.

input	output
Hello	olleH

 

 

다시 위 문제로 돌아와서, 우리가 입력한 파라미터가 addslashes → strrev 순으로 거치게 된다.

그렇다면, 끝부분에 backslash가 오게 함 으로써, 기존 쿼리 속 single quote를 escaping 시킬 수 있다.

 

select id from prob_zombie_assassin where id='{$_GET[id]}' and pw='{$_GET[pw]}'

select id from prob_zombie_assassin where id='\' and pw='{$_GET[pw]}'

 

---

4. Injection

 

위와 같은 상황을 만드려면, id값에 NULL혹은 "를 넣어주면 쉽게 해결된다.

addslashes 함수에 걸리는 특수한 문자앞에 붙은 backslash가 strrev함수를 거쳐, 가장 뒤로 가는 것이다.

 

$_GET[id]	addslashes	strrev
"	\"	"\
%00	%5c%00	%00%5c

 

 

 

다음으로 pw값에 or 1=1과 같은 쿼리값을 뒤집어 넣어주면 문제가 해결된다.

 

변수명	값
id	"
pw	%231=1 ro

 

 

img_1 zombie_assassin clear