본문 바로가기
IT Security/DreamHack

드림핵 워게임 blind sql injection advanced 문제 풀이 정리 (Level 2)

by 바닐라이코노미 2024. 11. 3.
반응형

드림핵 사이트의 워게임 중 웹 해킹 관련

blind sql injection advanced (Level 2) 문제에 대해서 정리 해보려 합니다

 

<문제설명>

Exercise: Blind SQL Injection Advanced에서 실습하는 문제입니다.
관리자의 비밀번호는 "아스키코드"와 "한글"로 구성되어 있습니다.

 

문제 설명에서 보며 아스키코드로만 되어있으면 수월 했을텐데 한글이 포함되어있어 

이부분이 문제 해결의 관건일 것으로 보인다

 

<문제를 풀기 위한 시도 정리>

 → aaa 라는 값을 입력했을 경우에는 아무것도 나오지 않는 것을 확인

 

→ admin 값을 입력했을 경우에는 ID가 존재한다고 나온다

 

 

→ admin 값이 참인것을 확인 했으니 admin 조건을 포함한 참이 되는 입력했을 경우에는 ID가 존재한다고 나온다

이런정보를 활용해서 비밀번호 자릿수나, 비밀번호 정보를 얻을 수 있지 않을까 시도를 해봐야겠다

참, 거짓의 플래그를 통해 값을 유추 해야 하는 상황

 

 

→ admin 값이 참인것을 확인 했으니 admin 조건을 포함한 참이 되는 입력했을 경우에는 ID가 존재한다고 나온다

이런정보를 활용해서 비밀번호 자릿수나, 비밀번호 정보를 얻을 수 있지 않을까 시도를 해봐야겠다

#시도했던 쿼리
admin' and substr(upw,1,1)='a #false
admin' and substr(upw,1,1)='b #false
admin' and substr(upw,1,1)='c #false
admin' and substr(upw,1,1)='d #true
admin' and substr(upw,2,1)='h #true

 

 

 

→ upw에서 플래그 값을 가지고 있는것을 확인했으니 실제 길이가 얼마나 되는지 확인이 필요하다

length로 upw에서 길이를 확인

 

 

→ 자리수를 확인 하고 그 다음에는 바로 아스키코드와 한글을 찾아서 값을 출력하도록 PoC 코드를 생성했는데 너무 느려 수정의 필요성을 확인

 

 

다시 접근 방법을 정리해보면

1. admin 패스워드 길이 찾기

2. 각 문자 별 비트열 길이 찾기

 → 패스워드의 각 문자가 한글인지, 아스키코드 인지 알 수 없기 때문에 이를 판단하기 위해서 문자를 비트열로 표현했을때 의 길이 정보 필요

3. 각 문자 별 비트열 추출

 → 패스워드 별 각 문자에 해당하는 비트열을 추출 아스키 코드의 경우 최대 8번, 한글의 경우 최대 24번 요청으로 추출 

4. 비트열을 문자로 변환

 

# 사용할 쿼리의 대한 정리
length(bin(ord(substr(upw, {i}, 1)))) 함수 사용

substr(upw, {i}, 1)
이 함수는 문자열 upw에서 특정 위치 {i}에서 시작하는 길이 1의 부분 문자열을 추출
즉, {i}번째 문자의 하나의 문자를 반환
예: substr("hello", 2, 1)은 "e"를 반환

ord(substr(upw, {i}, 1))
ord 함수는 주어진 문자를 해당하는 ASCII 값(또는 유니코드 코드 포인트)으로 변환
예: ord("e")는 101을 반환

bin(ord(substr(upw, {i}, 1)))
bin 함수는 주어진 숫자를 이진수(binary) 문자열로 변환 
이진수 문자열은 '0b'로 시작하며, 그 뒤에 해당 숫자를 2진수로 표현한 문자열이 붙는다
예: bin(101)은 '0b1100101'을 반환

length(bin(ord(substr(upw, {i}, 1))))
마지막으로 length 함수는 이진수 문자열의 길이를 반환
이때 '0b'를 포함하여 문자열의 길이를 계산
예: length('0b1100101')는 9를 반환

 

PoC코드 

 

위와 같은 코드를 생성 후 작업을 돌리면 최종적으로 원하는 결과를 얻을 수 있다

# DH출력값 제외 일부 로그 발췌

character 26's bits: 0
character 26:
character 26's bits: 0
character 26:
character 26:
character 27's bit length: 1
character 27's bits: 0
character 27:
Extracted password: DH{} <-- 정답출력

 

 

문제 출처 및 참조

https://learn.dreamhack.io/

 

 

반응형