티스토리 뷰
3번은 아래쪽 빈 네모를 누르면 까만색으로 칠해지는데 네모로직과 관련된 것이라고 한다.
이렇게 하면 answer값이 변하는데 올바르게 입력하고 gogo를 누르면
name을 적는 페이지로 넘어가고
마음대로 name을 적어서 write하면
name과 answer, ip가 뜬다.
write로 값을 넘길때 burp suite로 보면
answer=1010100000011100101011111&id="입력값" 이 뜨는데,
생각해본 결과 난 정확한 id값을 모르니 AND 연산으로 아무값과 id값을 AND해서 False로 만들고
True인 answer값과 False인 AND연산 값을 OR하면 True가 나올 것 같다.
그렇게 해서 answer=1010100000011100101011111 || "아무값" &id="입력값" 을 입력했더니
아까 name의 목록이 뜨던 곳에 admin과 다른 사람들이 입력한 값들이 보인다.
name : admin
answer = new_sql_injection
여기서 new_sql_injection이 Auth값이다.
클리어~
'Web_Hacking > Webhacking.kr' 카테고리의 다른 글
| [Web_Hacking] WebHacking.kr 49 (0) | 2017.04.03 |
|---|---|
| [Web_Hacking] Webhacking.kr 8 (0) | 2017.03.27 |
| [Web_Hacking] Webhacking.kr 18 (0) | 2017.03.18 |
| [Web_Hacking] Webhacking.kr 44 (0) | 2017.03.15 |
| [Web_Hacking] Webhacking.kr 32 (0) | 2017.03.11 |
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
링크
TAG
- 1번
- Los
- c언어
- my-pass
- cobolt
- java
- 0xdeadbeef
- wargame.kr
- 설치
- ftz
- lord of sqlinjection
- WebHacking
- 명령어
- 워게임
- attackme
- Python
- Lord of SQL Injection
- 웹해킹
- MySQL
- webhacking.kr
- ubuntu
- 우분투
- wargame
- 파이썬
- 자바
- BOF
- pwnable.kr
- C
- pwnable
- lob
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
글 보관함