[webhacking.kr] 2번 문제

(학습 목적으로 작성되었습니다. 잘못된 부분이 있다면 지적해주세요.)


2번 문제를 들어가 보자.

 

이 문제는 일명 홍길동 문제라고 불린다.

 

계속 삽질하다가 너무 안풀려서 구글링좀 해봤더니 blind sql injection 문제였다.

 

메인 화면은 다음과 같다.

 

 

메뉴들을 다 뒤져봤지만 딱히 쓸모없어서 소스를 확인해봤다.

 

map 태그가 걸려있는 메뉴들이 있는데 총 8개가 걸려있다.

 

map 태그란?

이미지의 특정 부분을 지정하여 링크를 걸 때 사용한다.

 

1개는 메인 링크고, 나머지 7개중 6개는 메뉴들이고, 마지막 1개의 링크는 admin이 걸려있는 관리자 페이지이다.

 

 

관리자 페이지로 접근해보자.

 

용 머리를 클릭하면 admin page로 접속가능하다.

 

 

 

관리자 페이지로 접근했다.

간단하게 admin을 입력하고 login을 해 봤지만, 아무반응이 없었다.

 

쿠키를 확인해보니 time과 session뿐 이었다.

 

쿠키를 조작할 것이 없으므로, 소스를 확인 해 보자.

 

소스에는 별 것 없었다.

 

name값이 admin인 폼 태그는 post 형식으로 index.php로 데이터를 보내는 구조다.

 

여기서 sql injection 공격을 해줬는데, 뚫리지가 않는다.

 

며칠 동안 삽질을 해봤지만 실패했고, 구글의 힌트를 좀 보니 blind sql injection 문제라고 한다.

 

 

 

아무래도 비밀 게시판에 힌트가 적혀있는 것 같으니 게시판을 공략해 본다.

 

뒤로가서 BOARD 게시판을 확인해 봤는데 FreeB0aRd라는 타이틀이 적혀있다.

 

게시판의 게시물은 하나였고, 비밀번호가 설정되어 있었다.

 

 

blind sql injection 문제이니 DB 테이블 명, 컬럼 명을 알아내는게 관건인데

 

구글링 힌트를 살짝 봤을 때 알고보니 FreeB0aRd는 게시판의 DB 테이블 명이었다.

 

admin 페이지에서도 form의 name값이 admin이었는데, admin 또한 DB 테이블 명이었다.

 

예전에 힌트로 테이블 이름을 알려줬다고 한다.

 

 

 

메인 페이지의 소스를 봤을 때 쓸데없는 부분에 주석으로 현재 날짜가 찍혀있었는데

 

time 쿠키값에 blind 공격을 할 수 있다는 것을 알았고, blind sql injection 공격을 시도해 보았다.

 

먼저, 공격이 되는지 확인하기 위해 and 1=1의 참 값을 넣어보았다.

 

 

새로 고침후 소스를 확인해 보니 다음과 같이 년도가 70년으로 바뀌었고, 초 부분이 01로 바뀌었다.

 

 

 

참 값을 해봤으니 거짓 값도 시도해 보았다.

 

 

다음과 같이 거짓이라는 00이 출력되었다.

 

 

 

공격이 잘 되는것을 확인했으니

 

게시판의 패스워드 길이를 알아보자.

 

 

위와 같이 and (select length(password) from FreeB0aRd) >= 10 구문을 넣었다.

 

위 구문을 해석해 보면

 

' password의 길이를 FreeB0aRd의 테이블에서 조회하겠다. '

 

이다.

 

password의 길이를 알아내야 하기 때문에 비교 연산자를 넣어줬다.

 

웬만해서는 패스워드의 길이가 그렇게 길지 않으므로 대충 10을 기준으로 작은지 큰지를 조회해 보았다. 

길이가 10 이상이냐는 조회해 봤을 때

 

 

표현된 값을 보니 결과는 10보다 작다고 한다.

 

 

9 이하를 조회해 봤다.

 

 

결과는 당연히 참이다.

 

그 길이가 9와 같은지 조회 해 보니

 

 

참이 떨어졌다.

이렇게 FreeB0aRd의 password 길이는 9 이다.

 

이런 식으로 admin의 password 길이를 뽑아낼 수 있다.

 

 

admin의 password 길이도 10 이상인지 조회해 봤다.

 

and

(select length(password) from admin) >= 10

 

10 이상이라고 뜬다.

 

 

15자 이하인지 조회해 보니

 

 

15자 이하이다.

 

 

password 길이가 짧지 안을 것으로 예상하고, 10부터 조회해 봤다.

 

 

바로 참이 떴다.

 

이렇게 admin 테이블의 password 길이는 10 이다.

 

 

여기까지 정리해 보자면

 

and (select length(password) from FreeB0aRd) = 9

and (select length(password) from admin) = 10

 

FreeB0aRd의 password 길이 : 9

admin의 password 길이 : 10

 

이다.

 

 

password길이를 알았으니 한 자리씩 그 값이 내가 비교한 ascii 코드값과 같은지 알아보는 작업을 하면 된다.

 

다음과 같은 구문을 사용하면 된다.

 

and (select ascii(substring(password, 1, 1)) from FreeB0aRd) = 97

 

 

ascii 함수는 문자열의 제일 왼쪽 문자를 ascii 코드로 변환해줍니다.

예) ascii('abc')

=> a의 문자를 ascii 코드로 변환.

 

substring 함수는 지정된 숫자를 기준으로 지정된 자리만큼 문자열을 자릅니다.

예) substring(문자열, 시작 인덱스, 길이)

 

 

해석을 해보자면

 

' substring으로 password의 첫 번째를 기준으로 1자리를 자른 값을 ascii코드로 변환하여

 

그 값이 97(아스키 코드 값)과 같은지 비교한다. '

 

 

이런 식으로 하나 하나 비교를 해 가다보면 패스워드를 알아낼 수 있다.

 

게싱을 쉽게 하기 위해서 스크립트로 짜서 브루트 포싱을 해줘야 한다.

 

 

하지만 아직 스크립트 기술이 부족하여 직접 하나하나 손으로 대입해보면서 해봤다.

 

 

 

FreeB0aRd 비밀번호 : 7598522ae

 

게시판에 들어가보니 내용으로 admin manual이라고 적혀있다.

 

소스를 보니 링크가 걸려있었다.

 

 

 

클릭하면 알집 하나가 다운되는데, 여기에도 비밀번호가 걸려있다.

 

이젠 admin의 패스워드를 따야될 것 같다.

 

 

 

몇 번의 삽질 후 패스워드를 추출했다.

 

admin 비밀번호 : 0nly_admin

 

 

 

로그인 하게 되면 다음과 같은 메세지를 출력하고, 메뉴얼 패스워드를 제공한다. 

 

 

압축해제된 html파일을 열어보니 플래그가 있다.

 

플래그를 인증 해주자.