[wargame.kr] Level 3: counting query

1. 문제 

https://dreamhack.io/wargame/challenges/342

[wargame.kr] counting query

 

2.해결 과정

id는 ip주소의 형식으로 되어 있고 id는 입력창에서는 따로 수정이 불가능하며, 패스워드에 아무내용이나 입력하면 오류가 발생한다.

 

(1) 코드 분석

플래그는 로그인에 성공한 뒤, 패스워드를 한 번 더 확인하고 출력해준다. 
-> 결국 문제는 로그인에 성공하는 것이 아니라 정확한 패스워드를 입력해야 하는 것

<?php
 if (isset($_GET['view-source'])) {
     show_source(__FILE__);
     exit();
 }
 include("./inc.php"); // database connect, $FLAG.
 ini_set('display_errors',false);

 function err($str){ die("<script>alert(\"$str\");window.location.href='./';</script>"); }
 function uniq($data){ return md5($data.uniqid());}
 function make_id($id){ return mysql_query("insert into all_user_accounts values (null,'$id','".uniq($id)."','guest@nothing.null',2)");}
 function counting($id){ return mysql_query("insert into login_count values (null,'$id','".time()."')");}
 function pw_change($id) { return mysql_query("update all_user_accounts set ps='".uniq($id)."' where user_id='$id'"); }
 function count_init($id) { return mysql_query("delete from login_count where id='$id'"); }
 function t_table($id) { return mysql_query("create temporary table t_user as select * from all_user_accounts where user_id='$id'"); };

 if(empty($_POST['id']) || empty($_POST['pw']) || empty($_POST['type'])){
  err("Parameter Error :: missing");
 }

 $id=mysql_real_escape_string($_POST['id']);
 $ps=mysql_real_escape_string($_POST['pw']);
 $type=mysql_real_escape_string($_POST['type']);
 $ip=$_SERVER['REMOTE_ADDR'];

 sleep(2); // not Bruteforcing!!

 if($id!=$ip){
  err("SECURITY : u can access with allotted id only");
 }

 $row=mysql_fetch_array(mysql_query("select 1 from all_user_accounts where user_id='$id'"));
 if($row[0]!=1){
  if(false === make_id($id)){
   err("DB Error :: create user error");
  }
 }
 
 $row=mysql_fetch_array(mysql_query("select count(*) from login_count where id='$id'"));
 $log_count = (int)$row[0];
 if($log_count >= 4){
  pw_change($id);
  count_init($id);
  err("SECURITY : bruteforcing detected - password is changed");
 }
 
 t_table($id); // don`t access the other account

 if(preg_match("/all_user_accounts/i",$type)){
  err("SECURITY : don`t access the other account");
 }

 counting($id); // limiting number of query

 if(false === $result=mysql_query("select * from t_user where user_id='$id' and ps='$ps' and type=$type")){
  err("DB Error :: ".mysql_error());
 }

 $row=mysql_fetch_array($result);
 
 if(empty($row['user_id'])){
  err("Login Error :: not found your `user_id` or `password`");
 }

 echo "welcome <b>$id</b> !! (Login count = $log_count)";
 
 $row=mysql_fetch_array(mysql_query("select ps from t_user where user_id='$id' and ps='$ps'"));

 //patched 04.22.2015
 if (empty($ps)) err("DB Error :: data not found..");

 if($row['ps']==$ps){ echo "<h2>wow! FLAG is : ".$FLAG."</h2>"; }

?>

 
입력값은 POST메서드를 통해 요청을 보낸다. 
특수문자 뒤에 백슬래시를 추가하는 mysql_real_escape_string 함수를 사용해 입력값을 처리하여 SQL 인젝션을 방지하고, ip주소를 가져와 id와 동일하지 않으면 에러를 발생시킨다. 타입이 1일 때(admin), id값이 all_user_acccounts 테이블에 존재하지 않으면 계정을 생성한다.  
또한 sleep(2)함수를 통해 2초동안 지연을 발생시켜 브루트 포스를 방어하고, 임시 테이블을 생성하여 입력한 id에 해당하는 사용자의 계정에만 접근 가능하도록 한다, 
또한, 로그인 시도를 기록하여 4번이상 로그인 시도를 하면 패스워드를 변경한다
 

(2) 익스플로잇

패스워드에 123을 입력하고 패킷을 확인해보면 바디값에 해당 값이 잘 전달되고 있는 것을 확인할 수 있다. 

.
로그인  시도시의 쿼리문을 보면 type변수는 다른 변수와 달리 문자열로서 삽입되지 않고 직접적으로 삽입이 된다.
즉, mysql_real_escape_string함수가 무용지물이 된다.
따라서 이를 이용해서 1차적으로 로그인 시도를 진행해보았다. 

select * from t_user where user_id='$id' and ps='$ps' and type=$type

 
로그인에 성공하였다. 따라서 type칸의 sqli 취약점을 익스플로잇하여 비밀번호를 알아내도록 하는 페이로드를 작성할 것이다. 

content-Length도 수정 필요할 것

 

 
이후 다양한 sql 쿼리문을 만들어보았지만, 가능한 것은 group by를 이용한 에러 based sqli문이었다. 
또한 처음에는 Select 1 을 이용해서 익스플로잇 해보려고 했지만 불가능 하였다.
그 이유는 
 
따라서 row(1,1)을 이용하고 구글링한 페이로드를 약간 변형해서 작성하였다. 
 

1 or row(1,1)>(select count(*),concat(ps,0x41,floor(rand(0)*2)) as test from information_schema.tables group by test limit 1)

 
 

d61c5f7c3b1b7e3f06c89f9c2e144caf

 
이렇게 알아낸 pw값으로 로그인하면 플래그 값이 나온다.