holinder4S

## prob18(web, 100pt)

[Main]

 18번 문제는 아주 간단한 SQLi 문제였습니다. 우선 문제를 보면 아래와 같은 페이지를 볼 수 있습니다.

[그림 1] 문제 페이지

 일단 index.phps라는 이 문제 페이지의 php 소스로 가는 링크를 클릭하면 아래 [그림 2]와 같이 php 소스 코드를 볼 수 있습니다.

[그림 2] index.phps

 소스 코드에서는 eregi()함수를 이용해 간단한 필터링을 합니다. 그리고 "select id from challenge18_table where id='guest' and no=$_GET[no]"라는 쿼리문을 실행시키는데 where 절안에 no파라미터를 GET방식으로 받아서 포함시킵니다. 일단 no 컬럼은 숫자이므로 아무 숫자나 0, 1, 2, 3...을 집어넣어 봤습니다. 1을 넣으니 "hi guest"가 떳고, 나머지는 아무것도 안떴습니다. 여기서 guest 계정은 no 컬럼이 1이라는 것을 알 수 있습니다.

 여기에 sql injection이 가능하고 따라서 "~ where id='guest' and no=-1 or no=2"로 쿼리를 인젝션시키면 (id='guest' and no=-1)이 false가 되고 or로 묶인 no=2가 true가 되면서 결과 값이 나오게 됩니다. 여기서 no=2는 admin 계정입니다. no=2가 admin이라는 것은 0부터 차례대로 입력해보았습니다. 그리고 공백 문자가 필터링되고 있으므로 공백문자를 공백문자 우회할 수 있는 방법들(%0a, %09, %0d, /**/, +)중 하나인 %0a로 대체하여 쿼리(-1%0aor%0ano=2)를 날리면 아래 [그림 3]과 같이 문제가 풀립니다.

[그림 3] Congratulation!

 참고로 "id='guest' and no=1 or no=2"로 인젝션시키면 guest가 결과로 나오게 되므로 id='guest'를 무력화시켜줘야 합니다. 그리고 id='admin'을 인젝션 쿼리에 넣어 바로 실행시키려고 했지만 싱글 쿼터가 url encode되어 쿼리문을 실행시킬 수 없었습니다