8번 문제에요.
배점은 350점, 분야는 DB에요.
안뇽 게스트
그리고 소스보기 버튼이 있네요.
연결한 사람의 IP와 User-Agent 를 받아와서 DB에 집어넣는데,
70개가 넘어가면 DB를 초기화 시키고,
User-Agent가 admin의 User-Agent와 같으면 풀리네요!
그럼 User-Agent를 변조시켜서 내 User-Agent를 Admin의 것으로 인식되게 하면 되겠네요.
나와라 만능 피들러!
먼저 insert 구문을 건들여서 admin의 데이터를 넣어야겠네요.
insert into chall8(agent, ip, id) value('User-Agent', '123.123.123.123', 'admin')#', '123.123.123.123', 'guest')
이 되도록 User-Agent 를 변조시키면?
데이터가 성공적으로 들어간것 같군요!
그럼 이제 다시 User-Agent를 건들여주면?
빠밤!
문제가 풀렸네요.
'연구글 > webhacking.kr' 카테고리의 다른 글
| webhacking.kr Challenge(old) 10 / Computing (0) | 2020.08.21 |
|---|---|
| webhacking.kr Challenge(old) 9 / DB (0) | 2020.08.20 |
| webhacking.kr Challenge(old) 7 / DB (0) | 2020.08.20 |
| webhacking.kr Challenge(old) 6 / Computing (0) | 2020.08.20 |
| webhacking.kr Challenge(old) 5 / DB (0) | 2020.08.20 |