<?php
include "./config.php";
login_chk();
dbconnect();
if(preg_match('/\'/i', $_GET[pw])) exit("No Hack ~_~");
$query = "select id from prob_assassin where pw like '{$_GET[pw]}'";
echo "<hr>query : <strong>{$query}</strong><hr><br>";
$result = @mysql_fetch_array(mysql_query($query));
if($result['id']) echo "<h2>Hello {$result[id]}</h2>";
if($result['id'] == 'admin') solve("assassin");
highlight_file(__FILE__);
?>
$_GET[pw] 필터
싱글쿼터(')
SELECT id FROM prob_assassin WHERE pw like ''
$result[id] == 'admin' 이면 된다.
like 는 %, _가 특수 기능을 한다.
%는 0 또는 1개 이상의 모든 문자에 일치
_는 정확히 1개의 문자에 일치
따라서 WHERE pw like '%X%' x에 임의 값 0-9, a-f 까지 입력했지만 GUEST만 출력됐다.
따라서 GUEST 레코드가 위에 있으므로 계속해서 GUEST가 출력되게 비밀번호를 하나하나 맞추니까
다음과 같을 때 Hello admin 이 출력됐다.
https://los.eagle-jump.org/assassin_bec1c90a48bc3a9f95fbf0c8ae8c88e1.php?pw=832%25
처음에 like 의 반대를 의미하는 것을 쓰면 되겠다. 했지만 쿼터 사이에 묶여 있으므로 ...
위와 같은 게싱방식으로 품.
문득 드는 생각인데 내장함수 또는 (, ) 가 필터됐을 경우 이런식으로 Blind SQL 인젝션 할 수 있겠다
'WEB Hacking > Lord of SQLi' 카테고리의 다른 글
| [los] succubus (0) | 2018.09.17 |
|---|---|
| [los] zombie_assassin (0) | 2018.09.17 |
| [los] giant (0) | 2018.09.17 |
| [los] bugbear (0) | 2018.09.17 |
| [los] troll (0) | 2018.09.16 |