#mongodb

Express + Mongoose 로그인에서 쿼리스트링 연산자 주입이 통한다. admin·dh 문자열은 BAN으로 막혀 있지만, 정규식의 각 글자를 `[c]` 캐릭터 클래스로 감싸면 substring 검사의 인접이 끊겨 우회된다. `uid[$regex]`로 admin을 특정하고 `upw[$regex]`로 flag를 한 글자씩 blind 추출했다.

Mongoose 로그인이 req.body 를 그대로 findOne 쿼리에 넣는다. JSON 바디로 $ne 연산자를 보내 비밀번호 없이 로그인하고, /user 가 노출하는 admin 값으로 진짜 admin 유저를 찾는다. $regex blind 로 비밀번호를 한 글자씩 뽑는데, 플래그는 admin 두 명의 비밀번호에 반씩 쪼개져 있었다.

게시판이 비밀글의 _id만 null로 가렸지만, MongoDB ObjectId는 시각·랜덤·카운터로 이뤄진 예측 가능한 값이다. 보이는 글들의 _id와 비밀글의 publish_date만으로 숨긴 _id를 복원해 본문(FLAG)을 읽는 과정을 정리했다.