웹 해킹
-
[Lord of SQLInjection] 06.darkelf - 10.skeleton웹 해킹 2024. 4. 3. 23:33
06. darkelf query select id from prob_darkelf where id='guest' and pw='' 조건 if($result['id'] == 'admin') solve("darkelf"); 특징 or / and 사용 금지 이번 문제의 특징은 논리연산자 or 와 and 를 필터링하고 있어서 사용할 수 없는 것이다. if(preg_match('/or|and/i', $_GET[pw])) exit("HeHe"); 하지만 논리연산자의 문자 표현만을 필터링하고 있기에 or는 ||로 대체하면 된다. 어려운 문제는 아니었다. 07. orge query select id from prob_orge where id='guest' and pw='' 조건 if(($result['pw']) && ..
-
[Lord of SQLInjection] 01.gremlin - 05.wolfman웹 해킹 2024. 3. 25. 16:56
이번주를 마지막으로 모의해킹스터디가 끝이 났다. 5개월간 모의해킹에 대해 많은 걸 배웠지만 여전히 부족하다. 그래서 웹 해킹 실력을 키워줄 첫번째 스텝으로 "Lord of SQLInjection"을 시작하며 그 과정을 정리해보도록 하겠다. 미리 말하자면 온전히 내 실력으로 모든 문제를 클리어하기엔 무리가 있다고 생각한다. 충분히 고민해보다가 막히면 구글링도 하면서 "배우는" 느낌으로 해보도록 하겠다. Lord of SQLInjection "Lord of SQLInjection"은 SQL Injection 문제를 풀면서 공부할 수 있는 사이트다. URL: https://los.rubiya.kr/ Lord of SQLInjection los.rubiya.kr 위의 사이트에 회원가입을 한 후 들어가면 문제 목..