Notice
Recent Posts
Recent Comments
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
Tags
- 자바스크립트 기본 문법
- javascript
- 카카오프로젝트
- numpy
- GIT
- 깃허브
- 카카오프로젝트100
- 파이썬
- 자바스크립트 element api
- 보안뉴스 한줄요약
- 보안뉴스 요약
- Oracle SQL
- 자바스크립트 API
- 보안뉴스
- 보안뉴스한줄요약
- 자바스크립트 jQuery
- 자바스크립트 객체
- 자바스크립트 prototype
- python
- oracle db
- 자바스크립트
- php
- 카카오프로젝트 100
- 자바스크립트 node
- ES6
- oracle
- 랜섬웨어
- 다크웹
- 보안뉴스요약
- 오라클
Archives
- Today
- Total
FU11M00N
[ Dreamhack ] simplesqli 본문
- 문제 정보
로그인 서비스입니다.
SQL INJECTION 취약점을 통해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다.
#!/usr/bin/python3
from flask import Flask, request, render_template, g
import sqlite3
import os
import binascii
app = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open('./flag.txt', 'r').read()
except:
FLAG = '[**FLAG**]'
DATABASE = "database.db"
if os.path.exists(DATABASE) == False:
db = sqlite3.connect(DATABASE)
db.execute('create table users(userid char(100), userpassword char(100));')
db.execute(f'insert into users(userid, userpassword) values ("guest", "guest"), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}");')
db.commit()
db.close()
def get_db():
db = getattr(g, '_database', None)
if db is None:
db = g._database = sqlite3.connect(DATABASE)
db.row_factory = sqlite3.Row
return db
def query_db(query, one=True):
cur = get_db().execute(query)
rv = cur.fetchall()
cur.close()
return (rv[0] if rv else None) if one else rv
@app.teardown_appcontext
def close_connection(exception):
db = getattr(g, '_database', None)
if db is not None:
db.close()
@app.route('/')
def index():
return render_template('index.html')
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
else:
userid = request.form.get('userid')
userpassword = request.form.get('userpassword')
res = query_db(f'select * from users where userid="{userid}" and userpassword="{userpassword}"')
if res:
userid = res[0]
if userid == 'admin':
return f'hello {userid} flag is {FLAG}'
return f'<script>alert("hello {userid}");history.go(-1);</script>'
return '<script>alert("wrong");history.go(-1);</script>'
app.run(host='0.0.0.0', port=8000)
간단한 sqli 문제
소스코드를보면
res = query_db(f'select * from users where userid="{userid}" and userpassword="{userpassword}"')이 부분이있다.
로그인할때 사용하는 쿼리문이니깐 여기다가 sqli를 시도해봤다.
if userid == 'admin':
return f'hello {userid} flag is {FLAG}'우선 id가 admin이여야하는것같아 userid는 admin으로 준 다음 쿼리문을 삽입했다.뒤에있는 패스워드 쿼리문은 무시하면되니 userid에 admin을 준다음 뒤에를 주석처리하거나 or문으로 쿼리를 주입하면될것같았다.
하지만 문제를 풀때 더블쿼터를안쓰고 싱글쿼터를 사용하면서 쿼리문을 계속작성하다가 뒤늦게 소스코드를 자세히 보다가 더블쿼터로 해야함을 깨달았고
당연히 mysql이겠지하며 #(%23) 주석이겠지하며 문제를 풀다가 쉬운문제에서 꽤 많은 시간을 쏟았다..
정답이 되는 쿼리문은 아래말고도 많은 정답이 있을것같다 아마 like같은거 써도될듯?
admin" or "1admin" --
'Web Hacking > DreamHack' 카테고리의 다른 글
| [ DreamHack ] image-storage (0) | 2021.03.28 |
|---|---|
| [ DreamHack ] file-download-1 (0) | 2021.03.28 |
| [ DreamHack ] xss-1 (0) | 2021.03.28 |
| [ DreamHack ] pathtraversal (0) | 2021.03.28 |
| [ Dreamhack ] cookie (0) | 2021.03.28 |
'Web Hacking/DreamHack' Related Articles
more
Comments