blind sql injection을 이용해야 한다. ascii가 필터링 되기 때문에, ord를 대신 사용한다. substr은 left, mid, right로 대체한다. =은 in이나 like 또는 between로 대체하면 된다. 싱글쿼터도 막아놓아서 char를 이용해야 한다. 아래와 같이 입력해 pw의 길이가 8임을 알아냈다. char(97,100,109,105,110)은 admin을 뜻한다. pw를 구하기 위해 파이썬으로 자동화 프로그램을 작성했다. import socket for i in range(1,9): for j in range(48,123): if 58

이번에도 blind sql injection을 이용하는 문제다. or, and, substr 등이 필터링 된다. or는 ||, and는 &&로 우회할 수 있고, substr는 mid 함수로, =은 in으로 쓰면 된다. 아래와 같이 입력해보았다. ?pw=' || id in("admin") %23 Hello admin이라고 뜬다. 마찬가지로 쿼리 뒤에 && length(pw) in ("8") #을 추가해 pw의 길이가 8임을 확인했다. pw를 알아내기 위헤 파이썬을 이용해 자동화 프로그램을 작성했다. import requests url = 'https://los.rubiya.kr/chall/golem_4b5202cfedd8160e73124b5234235ef5.php' headers= {'User-Agent'..

http://natas21.natas.labs.overthewire.org/index.php natas21/IFekPyrQXftziDEsUr3x21sYuahypdgJ로 로그인 화면에 표시된 링크와 같이 보아야 하는 문제다. 일단 링크를 타고 들어가보았다. CSS style experimenter 페이지라고 한다. 이 두 웹페이지가 연동되니 세션 id도 공유될 것이라 생각했다. 소스코드를 살펴보았다. 메인 페이지 natas21 Note: this website is colocated with http://natas21-experimenter.natas.labs.overthewire.org View sourcecode 눈여겨볼 부분은 세션 key에 admin이 포함되어 있고 value가 1인지 체크하는 부분..

http://natas20.natas.labs.overthewire.org/index.php natas20/eofm3Wsshxc5bwtVnEuGIlr7ivb9KABF로 로그인 지금은 일반 사용자로 로그인 된 상태고, natas21에 대한 자격 증명을 얻으려면 관리자로 로그인하라고 한다. Your name에 admin이나 다른 임의의 값을 입력해봤지만 아무 변화도 일어나지 않았다. 소스코드의 일부를 살펴보자. debug를 이용해서 문제를 풀어야 한다는 것을 알 수 있다. myread 함수를 통해 저장되어 있는 세션 파일을 한 줄씩 읽어들여 filename에 저장하고, mywrite 함수에서는 key와 value를 공백으로 구분하여 한 줄에 출력한다. 따라서 세션 key로 admin이 필요하며, 이를 해결하..