Wargame(CTF)67 Challenge 45 ID 와 PW를 입력하여 로그인하는 간단한 폼이 존재한다. 소스를 확인해보자. 2014. 6. 12. Challenge 51 간단한 아이디와 패스워드 입력부분이 나온다. 처음에는 Blind SQLi 인줄 알았다. 소스를 확인해보자. 2014. 6. 10. Challenge 55 해당 주소로 들어가면 슬라임같이 생긴 것이 마우스를 따라온다. 조금 움직이다 보면 슬라임에 잡혀 GAME OVER 라는 창이 뜨게 된다. RANK 페이지를 들어가보면 ID 와 RANK 와 SCORE 가 있다. 점수부분을 눌러보니 score 라는 변수를 통하여 값을 GET 방식으로 넘겨준다. 아마 이 부분이 인젝션 포인트인 것 같다. 먼저 참/거짓의 반응을 알아봤다. score=0 and 1=1# (참, id=localhost) score=0 and 1=2# (거짓, id 공백) 그다음 필터링 되는 항목들을 검사하기 위하여 여러가지 키워드들을 넣어봤다. SELECT 가 필터링 된다. SELECT 가 필터링 될 시 procedure analyse() 함수를 이용하면 테이블명을 알아낼 수 있다. rank.ph.. 2014. 6. 8. [Suninatas] Level 28 보호되어 있는 글 입니다. 2014. 5. 13. [Suninatas] Level 26 보호되어 있는 글 입니다. 2014. 5. 13. [Suninatas] Level 25 보호되어 있는 글 입니다. 2014. 5. 13. 이전 1 ··· 3 4 5 6 7 8 9 ··· 12 다음