prob_7

7번 문제의 시작은 위의 사진과 같습니다.

클릭할 수 있는 auth를 클릭 시 'Access_Denied!'구문이 써있는 메시지가 나옵니다.

위 사진을 보면 주목을 끄는 것은 <-- index.phps -->로 주석 처리 되어 있는 문장입니다. 

그래서 주소창에 'index.phps'로 들어가봤습니다. 아래의 사진처럼 소스가 나와 있는데 살펴보도록 합시다.

주석처리 부분으로db에는 val=2가 존재하지 않고, union을 이용해야 한다는 것을 알 수 있다. 그 다음 answer의 값은 모른다. GET으로 val을 받고, 그것을 go변수에 넣는다. 만약 go가 비어 있다면 다음과 같은 URL로 보낸고, 그렇지 않다면 ck변수에 go변수 값을 넣는다. str_replace는 ck변수에 있는 '*'과"/"을 공백으로 변환시킨다.

eregi("찾고자 하는 문자", "임의의 문자열")의 형식을 가진다. 그래서 사진 첫 번째와 두 번째 줄은 필터링할 문자들을 적어 놓은 것이다.(--|2|50|\+ : --, 2, 50, +를 말하는 것, |=구분선) 두 번째는 공백이 막혔다는 것을 주의.

rand에 넣어주는 1~5까지의 랜덤함수. ()의 갯수가 달라서 새로고침을 해줘야 할 수도 있다. 그리고 다음과 같은 쿼리를 날려줍니다.

data변수에 database에 있는 것을 가져옵니다.(배열) data[0]에 아무것도 없으면 'query error' 메세지를 보냅니다. data[0]이 1과 2가 아니라면 종료합니다.

data[0]이 1일 경우 'Access_Denied!'의 경고문이 뜹니다.

data[0]이 2일 경우 'Congratulation'의 메시지가 뜹니다.

위의 소스를 보고 내릴 결론은 val 값에 2를 넣어주면 되는 것이다.
그러기 위해서는 union을 사용할 것이다.

val=-1을 통해 false를 만들고, union select 2를 만들면 된다.
(union을 사용할 때 앞의 값이 false이면 앞의 값이 출력 되지 않고 union select 뒤의 값이 출력되기 때문에 false로 만든다.)

-1) union select (2

(-1 뒤에 ), 2 앞에 (를 해주는 이유는 rand 함수의 결과가 1일 경우 go변수의 앞 뒤가 ()로 막혀있기 때문이다.)

위에 적힌 것을 그대로 적으면 공백, 2와 같은 필터링 되는 것이 있기 때문에 풀지 못한다.

그래서 URL 인코딩 표와 사칙 연산을 활용하여 공백 대신 %0a(갱신), '-'를 사용한다.

-1)%0aunion%0aselect%0a(3-1

주소창에 입력을 하면 문제를 해결할 수 있다.

Clear