전 SQL 인젝션 관련 글 Lord of SQL Injection - Darkknight ?no=0 or length(pw) like 8 length(pw)로 패스워드의 길이를 알아냈다. ascii와 substr을 필터링하고 있다. ?no=0 or id like \"admin\" %26%26 ord(mid(pw, {str(i)}, 1)) like {str(j)}-- - id가 admin이면서 pw에서 i번째 문자를 mid(substr)해서 ord(ascii)로 바꾼 뒤 j와 비교한다. substr 대신에 mid, ascii 대신에 ord를 쓰면 된다. Lord of SQL Injection - Bugbear substr, ascii, =, or, and, 공백, 싱글쿼터 모두 필터링하고 있다. subst..

Dreamhack - simple_sqli POST로 userid와 userpassword를 파라미터로 받는다. userid가 admin이면 플래그를 리턴해 준다. 따라서 userid로 admin"--를 주게 되면 admin이 쿼리문이 다음과 같이 구성이 된다: select * from users where userid="admin"--"and userpassword="123" userpassword 부분이 주석 처리되므로 userpassword에 아무 값이나 넣는다. 프록시로 로그인 요청을 잡은 뒤 위와 같이 파라미터를 변조한다. 플래그가 나오는 것을 볼 수 있다. Lord of SQLI - Vampire str_replace 함수의 취약점을 이용한 문제다. admin이라는 스트링이 발견되면 ""로 치..

Dreamhack - XSS-2 페이지를 로딩했을 때 위와 같이 vuln, memo, flag라는 세 페이지가 있다. vuln 페이지에 가보면 파라미터로 태그가 전달되는 것을 볼 수 있으나 alert 창이 뜨지 않아 script가 실행되지 않은 모습을 볼 수 있다. 이때, 태그를 필터링하고 있다고 생각해볼 수 있다. 즉, vuln 페이지에서 XSS를 터뜨리면 된다. 이때 vuln으로 요청을 보내려면 flag 페이지를 이용해서 요청을 보내야 한다. check_xss 함수를 실행할 때 Cookie로 플래그를 넘겨주는 것을 볼 수 있다. check_xss에서는 read_url로 넘겨주고, read_url에서는 아래와 같이 처리한다: 즉, 플래그가 담겼지만 미사용 중인 Cookie 값을 Cookie로 설정한다...

Dreamhack - Cookie login 페이지로 이동했다. 문제 파일에 두 계정이 주어져 있다. admin과 guest라는 계정이 있는 것을 볼 수 있다. guest라는 사용자는 guest를 비밀번호로 사용하고 있고, admin이라는 사용자는 우리가 모르는 웹 서버에만 존재하는 실제 플래그 값을 비밀번호로 한다. 그러나 우리는 이 플래그 값을 얻으려면 admin으로 로그인되어 있어야 한다. guest - guest 계정으로 로그인을 시도해 본다. 버프 스위트 프록시에 Intercept 기능을 켜서 웹 서버로 보내지는 요청을 가로채서 볼 수 있다. 로그인을 시도하면 아래 사진과 같이 두 개의 요청이 보내진다. 첫 번째 요청에는 사용자가 입력한 아이디와 비밀번호를 전달하고 있고, 두 번째 요청은 겉보기..