38번 문제에요.
배점은 100점, 분야는 서버에요.
로그 인젝션
이래요.
F12를 눌러보면
admin.php
로 가는 코드가 주석처리가 되어있네요.
admin.php
로 접근해보면?
You must logged as "admin"
그리고 접속한 사람의 ip와 이름이 기록되어있네요.
앞으로 돌아가서
admin
을 넣어보면?
어드민이 아니래요.
그러면 아무 문자열이나 넣어보면?
정상적으로 기록이 되네요.
기록이 대충
자신.의.IP.주소:입력값
으로 되는것같으니
입력값에다가
입력값%0d%0a자신.의.IP.주소:admin
을 넣어버리면 admin이 기록되지 않을까 하고 해봤어요.
소스를 textarea 로 고쳐주고,
asdf
자신.의.IP.주소:admin
을 넣어준다음
admin.php
로 가보면?
빠밤!
문제가 풀렸네요.
'연구글 > webhacking.kr' 카테고리의 다른 글
| webhacking.kr Challenge(old) 40 / DB (0) | 2020.08.24 |
|---|---|
| webhacking.kr Challenge(old) 39 / DB (0) | 2020.08.24 |
| webhacking.kr Challenge(old) 37 / Server (0) | 2020.08.24 |
| webhacking.kr Challenge(old) 36 / Server (0) | 2020.08.23 |
| webhacking.kr Challenge(old) 35 / DB (0) | 2020.08.23 |