※ 작년 말 ~ 올해 초에 작성한 라이트업으로 사이트 개편 전의 문제가 섞여있습니다. ※
2020/06/27 - [웹 해킹] - webhacking.kr challenge 46
webhacking.kr challenge 46
※ 작년 말 ~ 올해 초에 작성한 라이트업으로 사이트 개편 전의 문제가 섞여있습니다. ※ lv에 값을 대입해보면 1부터 4까지는 값이 출력되고 0과 5부터는 값이 출력되지 않는다. lv 값으로 1
assb.tistory.com
46번과 비슷하게 풀 수 있다.
이 문제 역시 lv 1~4에는 id가 존재하고 0과 5에는 존재하지 않는다.
소스를 확인해보면 select, or, and, (, ), limit, , /, order, cash, 공백, 탭, “을 입력할 경우 no hack을 출력한다. 그리고 입력한 값에 위의 값이 존재하지 않으면 쿼리문에 대입한 후 실행한다.
따라서 lv=0 or id=admin이라는 값을 대입해주면 되는데 or과 공백 등은 걸러 지기 때문에 우회를 해야 한다. 따라서 ‘?lv=0%0a||%0aid=0x41646d696e’라는 값을 대입하면 문제가 풀린다.
728x90
'CTF > 웹 해킹' 카테고리의 다른 글
| webhacking.kr challenge 54 (0) | 2020.06.29 |
|---|---|
| webhacking.kr challenge 53 (0) | 2020.06.29 |
| webhacking.kr challenge 48 (0) | 2020.06.27 |
| webhacking.kr challenge 46 (0) | 2020.06.27 |
| webhacking.kr challenge 43 (0) | 2020.06.27 |