Dork's port

Time delay를 이용해서 admin의 비밀번호를 찾는 문제 이전 문제와 마찬가지로 x' or PG_SLEEP(10) IS NULL-- 이 동작하므로 이 Query를 기본으로 exploit을 진행하도록 하자. 그리고, 온라인에서 테스트가 한계가 있어 테스트 데이터 베이스를 구축하여 실습을 진행하였다 (쿼리에 대한 더욱 빠른 디버깅이 가능) . 위에서 언급한 Base Query의 문제점이 있는데, or을 이용할 경우 FROM 을 이용하여 특정 table의 내용을 검색하지 못하는 문제가 있다 (다른 방법이 있을 수도 있지만, 우선 내 지식의 한계 + 검색 귀찮음). 따라서, UNION SELECT 를 사용해야 하며, postgresql의 경우 column의 수 뿐만 아니라 return value의..

이번에는 Time delay 를 이용해서 blind injection을 하는 문제 마찬가지로 Cookie에 취약점이 존재 함 Jyo5LYnEFMw7YpXx' UNION SELECT SLEEP(10)-- 이 되지 않음. Jyo5LYnEFMw7YpXx' UNION SELECT PG_SLEEP(10)-- 도 되지 않음. Jyo5LYnEFMw7YpXx' UNION WAITFOR DELAY '0:0:10'-- 도 되지 않음 Jyo5LYnEFMw7YpXx' UNION dbms_pipe.receive_message(('a'),10)-- 도 되지 않음 음.. 데이터 베이스의 가능한 조건을 모두 해봤는데, 되지 않는거보니 다른 취약점이 있거나 무언가 잘못하고 있는..

이 문제는 웹 페이지에서 특정 문자로 condition을 확인하는 게 아닌 500 error 를 통해 확인하는 문제 ' UNION SELECT password FROM users where username='administrator'-- == True ' UNION SELECT password,'a' FROM users where username='administrator'-- == False 즉, False일땐 페이지가 정상적으로 로드되지 않는다. 따라서, condition에 따라 error를 return 하도록 해야하며, portswigger cheat sheet에서 찾을 수 있다. ' UNION SELECT if(1,'a&#39..

Cookie를 이용해 blind injection을 하는 문제로, 정상적인 결과가 리턴될 때에는 Welcome back! 이라는 문장이 보이면, 정상적으로 리턴되는 것. cookie의 값을 보면 TrackingId 라는 key로 dNVZJnXZvN35tfKj 와 같이 값이 존재한다. Base64 decoding을 해보면 적절한 text로 변형되는 것 같진 않다 (e.g., tՙ&uټݹ岣). 그래서 그냥 SQL injection 코드를 진행해보기로 했다. ' OR 1=1 -- 를 진행한 결과, 정상적으로 Welcome back! 이 출력되었고, 패스워드의 개수를 알기 위해 아래의 쿼리문을 진행 하였다 (테이블의 정보는 문제에서 제공함). ' union select password from u..