DoR@Hee의 끄적끄적

los - goblin

문제 소스코드 1. 이 문제는 전 문제들과 다르게 '를 필터링하고있다.2. id가 admin이어야 solve3. tip)문자열을 쿼리에 넣는방법은 hex, 16진수 방법이있다. '를 넣으면 위와같이 나타난다. 문제 solve는 위와같이 쿼리가 넣어져야 정답인대문자열같은 경우 'admin'으로 들어가야 된다. 그러나 '를 막고 있으니 아스키코드로 넣는다. query : select id from prob_goblin where id='guest' and no=2 or id=char(97,100,109,105,110)위와 같은 쿼리문이 들어갈 수 있는 이유는 and구문과 or구문이 있어서 그렇다. id='guest' and no=2 = 거짓 no=2 or id=char(97,100,109,105,110) =..
WarGame/los(los.rubiya.kr) 2019. 2. 27. 22:26
los - cobolt

문제소스코드소스 내용1. 쿼리 결과값에 따른 id가 admin일 경우 solve2. pw 는 md5 hash로 암호화해서 들어간다. 성공
WarGame/los(los.rubiya.kr) 2019. 2. 27. 22:16
los - gremlin

los - gremlin 문제 SQL INJECTION 관련 문제 사이트 인거같다.바로 php 소스를 보여주며값 입력에 따라 위에 쿼리값이 바뀐다SQL 공부하기에는 참 좋은 사이트인거같다. url 부분에 이렇게 넣어주면 이렇게 나타난다. 즉 이번 문제는 admin으로 로그인 하는거 같다. 딱히 필터링 하는 문자열도 없으니 다이렉트로 쿼리문 입력성공
WarGame/los(los.rubiya.kr) 2019. 2. 27. 22:11
webhacking.kr 50번

문제 첫화면 이 문제 역시 유사하다.(45번문제) 힌트를 보도록 하자. 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869Challenge 50SQL INJECTIONid : pw :
WarGame/WebHacking.kr 2019. 2. 27. 16:41
webhacking.kr 49번

문제 46번문제와 상당히 비슷한 문제이다. cash만 출력 안될뿐 힌트를 보도록 하자. 1234567891011121314151617181920212223242526272829303132333435363738394041Challenge 49SQL INJECTIONlevel : Colored by Color Scriptercs 46번 문제와 상당히 비슷한 문제이므로 자세한 분석은 생략 성공
WarGame/WebHacking.kr 2019. 2. 27. 16:33
webhacking.kr 48번

문제 첫화면 먼지 모르겟다.처음 문제를 들어가보면 xss관련해서 나오는대 문제가 xss관련 문제인줄 알았다. 구문을 넣어도 필터링 되는것도 없고 쿠키에다가 넣어도 역시 별다른 의미는 없다. 다른 방식으로 접근하기 위해 파일업로드를 한 번 해보왔고 파일을 클릭하면 null이 나타난다. upload 디렉터리는 당연히 Forbidden(403 접근제한) 파일을 업로드 하면 파일을 업로드 하면 위와 같이 Delete 버튼이 생기는데 Delete버튼을 누르고 uploda/파일경로를 입력하면 당연히 404(Not found)가 나타난다 그래서 계속 삽질을 하다가 파일을 삭제할 경우 없어지니까 rm명령어를 쓰지않을까 생각을 해봤다. 그래서 다중명령어 입력 명령어인 ;를 이용해서;ls를 작성후 삭제를 시키면rm;ls가..
WarGame/WebHacking.kr 2019. 2. 27. 16:11
webhacking.kr 47번

문제 첫화면 아무거나 입력 했을 때 alert에 의해서 그냥 done만 출력된다. 힌트를 보도록 하자. 123456789101112131415161718192021222324252627282930313233Challenge 47Mail Header injectionMail : Colored by Color Scriptercs mail함수를 이용해서 푸는 문제이며, https://webisfree.com/2016-05-31/[php]-mail()-%ED%95%A8%EC%88%98-%EC%9D%B4%EB%A9%94%EC%9D%BC-%EB%B0%9C%EC%86%A1-%ED%95%A8%EC%88%98-%EC%95%8C%EC%95%84%EB%B3%B4%EA%B8%B0 이 분이 자세히 설명해 주신다. mail함수는..
WarGame/WebHacking.kr 2019. 2. 26. 18:21
webhacking.kr 46번

문제 첫화면 역시 SQL INJECTION 문제이다. index.phps 힌트가 존재 그 전에 level 1를 입력하면 zzibong(id) money:10000(cash)가 보인다. 2를 입력 시 아무것도 안보이며 다른 문자 역시 아무것도 안보인다. 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647Challenge 46level : Colored by Color Scriptercs 소스코드 이며 위에 정리한대로 %20을 넣어 입력해보니 아무것도 안나온다 식은 맞는대스페이스(%20)까지 필터링 하고있는것으로 보인다. 그래서 다른 우회방식인 %0a(null)을 이용해서 본 결과 ㅈ정상적으로 출력되었고 해..
WarGame/WebHacking.kr 2019. 2. 26. 17:41
Prev 1 ··· 6 7 8 9 10 11 12 ··· 18 Next