(Lord of SQLInjection) cthulhu 문제

(Lord of SQLInjection) cthulhu 문제입니다.

코드를 먼저 살펴보면

필터링으로 prob _ . \ admin 을 필터링 하고 있습니다.

거기에 특별하게 보이는 코드가 보이지 않습니다.

 

위에 rubiya서버는 ModSecurity Core Rule Set v3.1.0의 level 1을 사용중이라는

이부분이 문제를 해결하기 위해 중요한 부분으로 보여

 

정확하게 이게 무엇인지 찾아보니

웹 애플리케이션 방화벽중 하나로 SQL인젝션과 LFI RFI등등 OWASP Top 10을 포함한 공격을

보호하는 방화벽이라고 합니다.

 

이를 우회하기 위해 CRS v3.1.0 Bypass를 키워드로 검색해보니

우회하는 방법이 정리된 자료를 찾을 수 있었습니다.

{ }나 @같은 기호를 이용해 우회하는 방법을 찾았습니다.

 

다시 문제로 돌아와서

 문제에서는 위의 Bypass방법으로 사용되는 { }와 @등을 필터링하지 않고 있으니

그대로 사용가능하며 문제를 해결하기 위해서는

id값을 존재하기만 하면되니

-1' <@=1 or {a 1}=1 or '

위 payload를 사용해 id값이 True가 되게 출력해준다면 문제가 해결됩니다.

일단 payload를 분석해보면

 

id='-1'<@=1 부분의 경우 '-1'<@1 은 null값이 나오게 됩니다..

즉 id=null 이되면서 다음 조건이 실행되고,

두번째 조건은 {a 1} =1 인데 이부분이 True가 나오게 됩니다.

이부분은 CRS를 우회하는 방법으로 설명헤주고 있는데 1=1과 동일하다고 합니다.

 

최종적으로 정리하면 아래와 같게 됩니다.

id=null or 1=1 or '

id부분에서 1=1로 True가 출력되며 or연산자로 인해 뒤에 오는 pw가 무시되니

id의 값이 True가 되게 됩니다.

 

위에서 정리한 payload를 문제사이트에 값을 전달해보면

문제가 해결되었습니다!

---

Reference

1. https://github.com/SpiderLabs/owasp-modsecurity-crs/issues/1181

Bypass the latest CRS v3.1.0 rules of SQL injection · Issue #1181 · SpiderLabs/owasp-modsecurity-crs