Login Page

인젝션 포인트는 찾았는데 reset password 에 걸리지않고 패스하려면 어떤식으로 접근해야 할까요..? tries 쪽은 봤는데 What? you are hacker! I reset password! 이 문자열에 걸리지 않고 패스하는 케이스를 찾지를 못하겠네요 ㅠ 힌트 조금만 주시면 감사하겠습니다..!

인젝션 포인트 잡아서 32자리 비밀번호를 추출했습니다. 혹시 몰라서 인젝션할때 페이지 내용을 봤는데 Password will be reset after 5 unsuccessful login attempts.를 계속 출력하는 것을 보아 제출 카운트가 줄지않고 벤 목록에도 해당되지 않는 것을 확인했습니다. 하지만 최종 비밀번호를 sess = requests.Session() ... res3 = sess.post(url=url+'login', data={'username' : "admin", 'password' : password})로 전송하거나 직접 입력해도 What? you are hacker! I reset password!가 출력됩니다. What? you are hacker! I reset password!가 출력되는 경우는 벤 목록에 해당되는 문자를 전송하거나, 쿼리로 받아온 값이 입력한 값과 다를 경우 두 가지인데, 제가 어떤 부분을 놓치고 있는 것인지 잘 모르겠습니다.

new_password = base64.b64encode(base64.b64encode(os.urandom(16))).decode()을 통해 만들어진 문자열은 대문자, 소문자, 숫자를 포함한 문자열이 나옵니다. 예시로 'UGNLcTZiQ1MrQlM5WnlEcGg5UjZMZz09' 이런 문자열이 나오는데 blind sql injection을 통해 문자열을 찾으면 'RyrkYkRENjdCVXFzeXNyODZsNHZCQT\r' 와 같이 대문자, 소문자, '\'문자를 포함한 이상한 값이 나옵니다... 코딩 과정에서 문제가 있는건지 맞는건지 모르겠어서 질문 올립니다..

base 64 에 포함되는 abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789/+에 대해 LEFT(password, "+str(i+1)+") = '"+password_admin+a+"' 이런 식으로 점차적으로 비교하면서 AND IF(1=1, BENCHMARK(1000000000, MD5('test')), 0) 로 위 구문을 통과하였을 때 시간이 길게 측정되도록 time based blind sql injection을 시도하였는데 반복적으로 돌려봐도 첫 번째 문자만(같은 문자가) match되고 이후 두 번째 문자부터 맞는 문자가 발견되지 않습니다. 혹시 잘못한 부분이 있을까요? 반복적으로 "Password will be reset after 5 unsuccessful login attempts." 만 프린트 되는 것은 확인했습니다

세션값 조작해서 시도횟수 우회까지는 했는데 그다음부터 뭘해야할지 모르겠습니다. blind sql injection하면은 시도횟수는 무한대여도 한자리씩 찾으면은 한자리 찾을때마다 password가 리셋되고 그렇다고 password를 한번에 찾게 짜도 32자리라 시간이 무한대로 걸릴거 같아 안했습니다. 어떤 방식으로 접근해야할지 힌트라도 주실 수 있을까요? ㅠㅠ

i used this payload : 1 OR IF(ASCII(MID(password, 1, 1)) = {n}, BENCHMARK(10000000, MD5(1)), 1)# with n run in range (65,122) for this challenge but nothing delay. Do i wrong in somewhere

[...] ...................................admin_password: NHBYUno1dnR3SjVyNC92d0Q3VWxGQT .....................................................admin_password: NHBYUno1dnR3SjVyNC92d0Q3VWxGQT0 ..............................................................admin_password: NHBYUno1dnR3SjVyNC92d0Q3VWxGQT09 ...............................................................admin_password: NHBYUno1dnR3SjVyNC92d0Q3VWxGQT09 <!DOCTYPE html> <head> <style> [...] </style> </head> <body> <div id="margin" style="height: 80px;"> </div> <div id="logo" style="height: 300px;"> <img src="/static/images/logo.png" height="340" style="margin-left: auto; margin-right: auto; display: block;" /> </div> <form id="login" method="post" action="/login"> <input type="text" placeholder="username" name="username" /> <input type="password" placeholder="password" name="password" /> <button>login</button> <p id="msg">Password will be reset after 5 unsuccessful login attempts.</p> Password Exploit 후 즉시 해당 패스워드로 로그인하게 했는데 로그인 실패가 뜨네요. 몇 번 같은 방식으로 시도해 보기도 하고 브라우저/Burp/Postman 가리지 않고 시도해 보았습니다만 모두 동일하게 Password will be reset... 메시지가 출력됩니다. 패스워드도 올바른 형식으로 출력되는 것 같은데, 왜 해결되지 않는지 모르겠습니다.

sql injection을 활용해서 푸는 문제 맞을까요? injection으로 푸려는데, if username != actual_username or password != actual_password: 이 부분을 우회하지 못하고 있습니다...

단순 Blind SQLi를 사용해서 32자리를 얻게 된다면 한 글자마다 참인 값이기에 actual_username = ret[1] actual_password = ret[2] if username != actual_username or password != actual_password: reset_password() session['tries'] = 0 msg = 'What? you are hacker! I reset password!' return render_template('login.html', msg=msg) 해당 코드로 인해 계속 초기화 된다고 생각합니다. SQL query에 의해 SQLi 포인트는 한 부분인 거 같고, SQLi 하자니 참이 되면 비밀번호가 초기화되고 거짓만 된다면 비밀번호를 알 방법이 없고 그렇다면 참이 아니면서 SQLi를 통해 비밀번호 얻는 접근 방식을 어떻게 달리 해야할 지 의문입니다...

I use blind Sqli to retrive password with 32 character (seem it is base64) but the password I get many time is incorrect. Please give me a hint