이번엔 못보던 버튼이 생김 소스코드로 버튼부분을 보면, hidden 속성에 이메일 값이 보임 버튼 클릭 시, 비밀번호 문서가 해당 이메일로 보내진다고 유추할 수 있음 이메일 값을 수정 후 버튼 클릭 시, 수정된 이메일로 파일이 보내졌다는 메시지 확인 이메일 확인 시, 패스워드 파일 존재 해당 패스워드 삽입 시, 성공적으로 로그인에 성공

계속 패스워드를 맞추는 문제 마땅히 볼게 없으므로 소스코드 오픈 다행히 떡하게 hidden 속성으로 숨겨진 페이지(password.php) 발견 해당 페이지로 이동하여 비밀번호처럼 보이는 문자 발견 해당 문자열 삽입 시, 문제 해결

- 'strcmp' 함수를 우회하라는 문제 확인. - Start - view-source - 패스워드가 일치하면 Flag를 획득할 수 있다. - if (strcmp($_POST['password'], $password) == 0) 를 통해 패스워드를 검증 - strcmp 함수는 두 개의 인자 값이 같으면 '0'을 반환한다. - PHP 5.3버전에서는 strcmp 함수의 인자 값으로 배열을 입력하면 NULL을 반환하는데, 이것을 이용한다. ( 참고로 5.2버전에서는 인자 값으로 배열을 입력하면 'Array'라는 문자열로 변환하여 1 또는 -1을 반환한다.) - 느슨한 비교문(==)에서 'NULL == 0' 은 참이므로 password에 배열을 전달해보자. - 'password[]=pass' 를 전달하여 s..

아무 반응이 없어서 코드를 확인하였다. $db = dbconnect(); include "./tablename.php"; if($_GET['answer'] == $hidden_table) solve(53); if(preg_match("/select|by/i",$_GET['val'])) exit("no hack"); $result = mysqli_fetch_array(mysqli_query($db,"select a from $hidden_table where a={$_GET['val']}")); echo($result[0]); 이번 문제는 테이블명을 answer에 넣어서 서버로 보내면, flag를 획득할 수 있는 문제이다. 테이블명을 얻기 위해서는 select a from $hidden_table wher..

suninatas 4번 문제풀이 시작해보도록 하겠습니다. 1. 문제 2. 문제풀이 눈에 보이는 Plus를 계속 눌러보았다. Point가 25까지 늘어나고 I like the SuNiNaTaS browser!라는 문구가 뜨게 되었다. 이후엔 카운트가 올라가지 않았고 프록시툴(Burp Suite)을 이용하여 패킷을 분석해보았다. 응답 값을 보니 User-Agent 값이 찍히며, Hint를 통해 포인트를 50으로 맞추고 'SuNiNaTaS'를 이용하라는 힌트가 보인다. 요청 total값을 50과 User-Agent 값을 SuNiNaTaS로 변조하여 요청해보았다. 올라가지 않던 point 값이 27로 올라가며, User-Agent 값은 변경되지 않았다. 다시 요청 total 값은 50으로 맞추고 두 번째 요청 ..

입력한 Text와 파일을 업로드할 수 있는 페이지가 나왔다. 나는 뭔가 있을 까봐 입력하여, 코드를 살펴보니 아무 것도 없었다. 파일와 text를 입력하여 코드를 살펴보니, 역시 아무것도 없었다. 하지만 내가 업로드한 PHP은 운영체제에 명령을 전달하는 코드였고, 나는 내가 업로드한 /upload/test.php에 명령어를 전달하였다. 그러나, 해당 코드는 실행이 안되고 읽기만 되는 것으로 다른 방법으로 접근을 해야한다. GET /?mode=del&time=1622299124 HTTP/1.1 Host: webhacking.kr:10006 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit..