| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
Tags
- suninatas
- 안드로이드리버싱
- follina
- 칼리리눅스
- 볼라틸리티
- Forensic
- 앱
- 자바입문
- CTF
- 컴공
- 혼자공부하는자바
- 소프트스퀘어드
- 문제풀이
- 포트스캔
- KaliLinux
- pico
- 백준
- ReverseEngineering
- 자바복습
- 포렌식
- 3wayhandshaking
- 9012
- artifact
- picoCTF
- Burpsuite
- baekjoon online judge
- 와이어샤크
- 아티팩트
- 메모리포렌식
- 버프스위트
Archives
- Today
- Total
컴퓨터공학 전공생의 보안 도전기✌
[Webhacking.kr] Challenge 3번 본문
문제
풀이
우선 위의 로직게임을 그냥 풀어주었다. 5*5 사이즈의 간단한 네모로직 게임이다.
위와 같이 클릭해 칸을 색칠한 후, solved 버튼을 누르면 아래와 같이 쿼리를 보낼 수 있는 폼이 뜬다.
아무 이름이나 입력을 해보면 아래와 같이 이름과 answer, ip 주소값의 로그가 남는다.
name에다가 sql을 시도해보기도 했으나 answer값이 어떤 name이든 동일하며, 그 바이너리값을 변환해보아도 딱히 의미있는 문자열은 아니었다. 그래서 Burp Suite로 이 패킷을 가로채보았다.
그랬더니 이렇게 앞에서 풀었던 로직게임의 결과값이 바이너리값처럼 생성되어 answer 변수로 id와 함께 넘어가고 있었다. 그래서 이번에는 answer 변수쪽에 sql을 시도해보았다.
단순 or 1=1은 query error가 뜨는 것을 보아 뭔가 필터링을 하고 있는 듯 했다.
그래서 id값을 아예 주석처리하기 위해 or 1=1--을 해주니 문제를 해결할 수 있었다.
문제가 해결되었다.
'문제풀이 > Web' 카테고리의 다른 글
| [Webhacking.kr] Challenge 11번 (0) | 2022.06.04 |
|---|---|
| [Webhacking.kr] Challenge 10번 (0) | 2022.06.04 |
| [Webhacking.kr] 33번 (0) | 2022.05.27 |
| [Webhacking.kr] 43번 (0) | 2022.05.25 |
| [Webhacking.kr] 42번 (0) | 2022.05.25 |
'문제풀이/Web' Related Articles
more
