🚩 CTF Writeup

1. 문제 설명 This is the next lesson of SQLi 101. 2. Writeup Hint를 통해 페이지 내 소스코드를 제시해주고 있다. 사용자가 Enter Keyword here에 입력한 값이 searchkey 파라미터를 통해 쿼리문으로 들어가게 된다. 1을 keyword로 넣고 검색했더니 다음과 같은 검색 결과가 출력된다. SQL Injection이 발생하는지 알아보기 위해 1' or 1=1# 을 검색해보았다. 사용자가 입력한 값과 상관없이 모든 데이터가 출력되는것으로 보아 SQL Injection이 가능하다는 사실을 알아낼 수 있었다. SQL 구문 오류 메시지가 출력되지 않기 때문에 Blind SQL Injection을 수행하였다. Blind SQL Injeciton 절차 ① 컬..

1. 문제 설명 Hi there! It's time to learn about SQL injection, a famous and representative web attack skill. 2. Writeup 별도로 소스코드를 제공해주지 않는 문제이다. 문제에서 제공해준 웹 사이트를 접속하면 LOGIN PANEL이 보인다. 로그인 폼 위에 미션으로 SQL Injection을 통해 admin으로 로그인하라고 힌트를 주고있다. Mission: login as an admin using SQL Injection 대중적인 SQL Injection 쿼리를 입력하여 로그인을 시도해보았다. username : admin' or 1=1# password : 1234 Fail 이라는 메시지와 함께 'OR'을 사용하지 말라..

1. 문제 설명 Now it's time to learn another web vulnerability and attack. 2. Writeup 웹 사이트에 접속하면 위와 같은 페이지를 확인할 수 있다. 소스코드나 기타 정보를 문제에서 제공하지 않기 때문에 게싱으로 풀어야 한다. username과 password에 아무런 값이나 입력하고 로그인을 시도해보았다. 로그인이 실패했다는 메시지와 함께 로그인 버튼 밑에 Need help? 링크가 생성되었다. Need help? 버튼을 클릭하면 관리자에게 지원 요청을 할 수 있는 창이 열린다. 우측에 있는 [HINT] 버튼을 클릭하면 소스코드를 확인할 수 있다. 소스코드에 딱히 큰 도움이 될만한 부분은 보이지 않는다. "Admin will check your me..