Iriton's log
[Webhacking.kr] old-19 write-up 본문
초기 화면은 위와 같다.
제출 버튼을 눌러보면
url에 id=admin으로 입력한 값이 뜨며,
you are not admin이라는 문구가 뜬다.
admin으로 접속이 되면 flag 값이 뜰 것 같다.
소스 코드에는 별다른 내용이 없었다.
혹시나 admin을 base64로 인코딩 한 값인
YWRtaW4=
으로 바꾸면 될까 싶었지만
그냥 로그인만 된다.
그래서 가장 기본적인 SQL Injection 공격을 시도했다.
?id=admin'--
콜론으로 id 입력 코드를 임의로 끝내고
--으로 뒤의 코드를 무력화 시켜서
원래 로그인 조건에 맞지 않아도
admin으로 로그인 될 수 있게끔 하는 것이다.
'WebHacking > WarGame' 카테고리의 다른 글
| [RootMe] Challenge: HTTP - Cookies (0) | 2023.09.20 |
|---|---|
| [Webhacking.kr] old-42 write-up (0) | 2023.09.18 |
| [Dreamhack/Wargame] Lv.1 simple-web-request write-up (0) | 2023.05.30 |
| [Dreamhack/Wargame] Lv.1 ex-reg-ex write-up (0) | 2023.05.30 |
| [Dreamhack/Wargame] Lv.1 proxy-1 (0) | 2023.05.21 |
'WebHacking/WarGame' Related Articles
more
Comments