webhacking.kr - old-39

 

view_source 결과

 

 

 

sqli 방지책 1

$_POST['id'] = str_replace("\\","",$_POST['id']);

열슬래쉬 기호를 사용할 수 없다. 만약 사용할 수 있다면

'abc\''처럼 따옴표를 닫아 우회가 가능해질 것이다. 

 

sqli 방지책 2

$_POST['id'] = str_replace("'","''",$_POST['id']);

따옴표 (')를 입력할 시 따옴표가 두 개가 ('') 써진다. 

 

$result = mysqli_fetch_array(mysqli_query($db,"select 1 from member where length(id)<14 and id='{$_POST['id']}"));

밑에 적힌 sql문을 보면 따옴표로 시작이 됐지만 닫히지 않고 있어(id=') 문법에 오류가 생긴다. 

 

 

sqli 방지책 3

$_POST['id'] = substr($_POST['id'],0,15);

입력한 문자는 15 이하 밖에 사용하지 못하며 초과 시 문자열이 잘리게 된다. 

 

 

 

 

해답

substr($_POST['id'],0,15)를 이용하여 (sqli 방지책 2)를 우회해 따옴표를 닫아주자. 

 

예시)

$_POST['id'] = 12345678901234'

12345678901234' 입력 시 12345678901234''로 전환이 되지만 substr에 의해 12345678901234'가 된다. 

 

 

그리고 두 번째 문제는 member 테이블에 존재하는 id 찾기이다. 

select 1 from member where length(id)<14 and id='{$_POST['id']}

사용자는 어쩔 수 없이 따옴표를 15번째에 써줌으로 따옴표를 닫아줄 수 있지만 1부터 14글자를 어떤 문자로 채워야 하는지 의문이 든다. (member에는 그만큼 긴 이름이 있을지 없을지 모르니깐...) 

 

14글자만큼 하나하나씩 대입을 하면 매우 긴 시간이 소요되니깐 다른 방법을 찾아야 하는 것이다. 

 

결국 찾은 방법은 admin(공백*9)으로 채우는 것이다. 

즉 입력을 admin         ' <- 이렇게 하는 것

 

 

해답 원리

 

아이러니하게도 예시로 VARCHAR(15) 타입으로 구성된 컬럼일 경우 admin이라는 5글자 내용이 저장되면 나머지 10글자는 공백으로 채워진 상태로 저장된다 함. 

(http://woowabros.github.io/study/2018/02/26/mysql-char-comparison.html)

 

그래서 문자끼리 서로 계산할 때 VARCHAR(15)인 경우 admin(공백*9) = admin(공백*9) 이런 식으로 패딩을 채운채로 계산된다는 소리이다. 

 

admin과 admin(공백)이 서로 일치하여 1을 출력

 

admin과 (공백)admin은 서로 일치하지 않아 1을 출력하지 않음