LOS (Lord of SQL injection) 문제 9번 vampire write-up

문제 9번 - vampire

 

query : select id from prob_vampire where id=''

<?php 
  include "./config.php"; 
  login_chk(); 
  $db = dbconnect(); 
  if(preg_match('/\'/i', $_GET[id])) exit("No Hack ~_~");
  $_GET[id] = strtolower($_GET[id]);
  $_GET[id] = str_replace("admin","",$_GET[id]); 
  $query = "select id from prob_vampire where id='{$_GET[id]}'"; 
  echo "<hr>query : <strong>{$query}</strong><hr><br>"; 
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if($result['id'] == 'admin') solve("vampire"); 
  highlight_file(__FILE__); 
?>

 

이번에도 마찬가지로 php코드가 주어져있다.

 

먼저 필터링 함수를 확인해보면 id를 받는 변수에 '를 필터링하고 i를 통해 대소문자를 구별하지 않는다는 것을 알 수 있다.

<?php 
  if(preg_match('/\'/i', $_GET[id])) exit("No Hack ~_~");
?>

 

이번에는 신기한 문장이 보이는데  id를 받는 변수를 이렇게 저렇게 설정하는 것 같다.

<?php 
  $_GET[id] = strtolower($_GET[id]);
  $_GET[id] = str_replace("admin","",$_GET[id]);
?>

위 문장에서 보이는 strtolower함수는 대문자를 소문자로 변환시키는 함수이다.

또 아래 있는 str_replace함수는 해당 문자열을 바꾸는 함수인데, 첫 번째 인자에 변경대상 문자 두 번째 인자에 변경하려는 문자 세 번째 인자에 변수 즉 replace가 바꾸고자 하는 문자열를 적는다.

 

따라서 위에 문장을 해석하면 admin이 보이면 공백으로 바꾼다는 것이다.

 

또 clear 조건을 확인하기 위해 조건문 코드를 확인해보면 id가 admin이어야한다는 것을 알 수 있다.

<?php 
  $query = "select id from prob_vampire where id='{$_GET[id]}'"; 
  echo "<hr>query : <strong>{$query}</strong><hr><br>"; 
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if($result['id'] == 'admin') solve("vampire"); 
  highlight_file(__FILE__); 
?>

 

필터링 함수와 조건문을 확인해보니 id를 admin으로 설정해줘야하는데 admin은 공백으로 바뀐다는 것을 알 수 있다.

이를 해결하기 위해서는 문자열 안에 문자열을 넣어서 해결할 수 있다. ex) adadminmin, aadmindmin 등

 

위 예시처럼 적으면 admin이 공백으로 바뀐후 admin이 생기므로 id는 admin으로 우회할 수 있다.

 

따라서 해당 주소 php 뒤에 id=adadminmin을 입력한다.

 

solve

https://los.rubiya.kr/chall/vampire_e3f1ef853da067db37f342f3a1881156.php?id=adadminmin