[Webhacking.kr] old-51 write up

 

👆 위는 문제 화면이다. 뭔가 sqli의 냄새가나는데, 코드를 보자.

 

코드를 보니 sqli가 확실해졌다. 문제는 쿼리문이 참일 경우 해결이 된다. 필터링 부분을 보자. 

 

필터링 부분을 보면 addslashes로 인해 싱글쿼터 탈출이 불가능하며, pw에 md5 해시함수가 걸려 있어서 pw에서도 싱글쿼터 탈출이 불가능하다.. 아무리 생각해봐도 답이 안나와서 살짝 힌트를 보니 md5 함수에 취약점이 존재한다.

 

md5 함수의 두 번째 인자에 true or false값을 줄 수 있다. 기본값은 false이다. 먼저 false일 경우에는 32바이트의 16진수 문자열로 해시화되어 리턴되지만, true일 경우에는 16바이트의 2진수 바이너리 값이 리턴된다. 이 말은 2진수 바이너리가 or이나 싱글쿼터를 나타낼 경우 쿼리문에 영향을 끼칠 수 있다.

 

python으로 md5 함수를 실행해봤다.

 

실행결과

 

위와 같이 2진수로 나오는 걸 볼 수 있다.

 

우리는 pw부분에서 싱글쿼터 탈출이 필요하다 따라서 다음과 같은 문자열이 필요하다.

' or '을 넣게 되면 쿼리문은 

 

select id from chall51 where id='{$input_id}' and pw='' or ''" -> false or true ''은 참이 됨

 

구글링을 통해 md5해시화 후 16진수 바이너리 값으로 바꾼값이 ' or '이 되는 값을 가져왔다.

 

pw에 입력 -> 129581926211651571912466741651878684928