[Lord Of SQL injection] wolfman → darkelf

우선 문제는 단순히 id=’admin’이면 문제가 풀린다. orc에서 파이썬 코드 짜는데 헤매서 그런가 난이도가 갑자기 낮아진 것 같다.

일단 처음에 id가 guest라고 되어있으니 pw값을 거짓으로 넣고 id=’admin’을 때리면 될 것 같다. 그래서 했는데 No whitespace ~_~가 뜨길 레 다시 보았더니 공백처리를 우회해야 한다.

http://lanian.tistory.com/entry/SQL-%EC%9D%B8%EC%A0%9D%EC%85%98-%EC%9A%B0%ED%9A%8C-%ED%8C%A8%ED%84%B4 여기 sql injection 우회가 잘 나와 있다. 여길 참고하여 나는 공백부분을 /**/로 처리하였다.

.php?pw=’/**/or/**/id=’admin

그런데 풀고나서 든 생각이 id='admin' and pw=참값 으로 해서 풀 수도 있지 않을까 해서 ~.php?pw='/**/or/**/id='admin'/**/and/**/pw=''or'1'='1'을 때려보았는데 Hello guest가 출력되었다. 왜 그런지 잘 이해가 되질 않아 직접 테스트 해보았다.

우선 member라는 테이블에 id,pw 컬럼으로 이렇게 데이터를 넣었다. 그리고 몇몇 쿼리문들을 때려보았는데

우선 이 경우는 id가 1이고 pw가 NULL인곳을 찾고 id가 2이고 pw가 2인 곳을 찾으므로 참인 부분만을 뽑아내어 id가 2가 나온다.

그리고 이 경우에는 id가 1이고 pw가 NULL인 곳을 찾고 id가 2이고 pw가 NULL인 곳을 찾고 1=1인 곳을 찾으므로 즉 where 이후에 '1'='1'이 남아 모든 id가 뽑아져 나온다. 즉 내가 때렸던 쿼리문도 결국엔 '1'='1'이 참으로 남아 guest와 admin이 모두 뽑아져 나와 Hello guest가 뜬 것이다.