BIGFROG

and, or이 필터링이므로 &&, ||로 사용 가능

공백을 못쓰니까 %0a로 해결

패스워드를 맞추면 되는 문제 필터는 prob _ . ( ) + 대소문자 구분 X(i옵션) PW를 맞춰야 하므로 blind sqli 길이를 먼저 맞춰야 한다. 이 부분은 파이썬으로 짜는게 빠르다. import requests COOKIE = {'PHPSESSID': ''} url = 'https://los.eagle-jump.org/orc_47190a4d33f675a601f8def32df2583a.php?' for i in range(1,20): query = f"pw=1' or id='admin' and length(pw)={i} %23" if 'Hello admin' in requests.get(url+query, cookies=COOKIE).text: print("password length : ",..

filter : prob _ . ( ) ' " ` +대소문자 구분 X id를 admin으로 바꿔주면 된다. '가 필터링에 걸려있으니 id='admin'은 사용하지 못한다. '를 대신할 수 있는 방법으로 hex값으로 바꿔 넣어줄 수 있다.

select id from prob_cobolt where id=' admin' or '1'='1 ' and pw=md5('')

join으로 등록해놓고 누르면 투표가 된다. 한번 누르면 투표가 되고 쿠키 vote_check가 ok로 된다. burp suite를 통해 repeater로 vote_check = 0을 반복한다. 100번 넣으면 클리어. 노가다인듯. *쿠키를 차단시키는 방법도 있는데 체감상 리피터가 더 빠름.

.htaccess 파일 업로드 취약점을 이용한 문제 php_flag engine off 라는 내용을 notepad에 작성, 파일형식을 모든 파일로 설정하고, 파일 이름을 .htaccess라고 만들면 htaccess파일이 만들어진다. 이를 업로드하면 php처리를 끌 수 있고, 그로 인해 read me 를 읽어낼 수 있다. 지금은 막힌 문제라 스코어를 얻을 수는 없음.

SQL injection문제. no=1테이블에는 guest가 있다. no=0이나 no=2에 admin 이 있을 것이다. 소스를 보니 admin으로 접속하면 클리어되는듯. 필터링만 유의하면 될 듯 하다. get(no)부분에 0) or no=2 따위로 입력되게 하고 뒤에 있는 부분을 주석처리 하기 위해 --를 붙일것이다. 따라서, 2) or no = 2 -- 로 제출하면 필터링에 걸러진다. =가 필터링되었으므로, 2) or no like 2 -- 로 제출하면 클리어. 참고 : --뒤에 공백이 있어야 한다.

index.phps에 보니 id=admin이면 필터링해서 no! 를 출력한다. ?id=admin 을 통해 no!나오는거 확인. 소스를 보니 URL인코딩을 하는 것으로 보임. admin을 인코딩한 결과를 넣었는데, 디코딩되면서 admin으로 바뀐다. 우회를 해야 하기 때문에 admin을 인코딩한 %61%64%6D%69%6E을 한번더 URL인코딩한 %2561%2564%256D%2569%256E 를 넣기로한다. ?id=%2561%2564%256D%2569%256E로 넣으면 클리어.