티스토리 뷰
문제 페이지를 보면 LOG INJECTION 문자열과 입력할 수 있는 부분, login, admin 버튼을 볼 수 있다.
소스를 보면 주석으로 admin.php 가 되어 있고, admin 버튼을 누르면 admin.php 페이지로 이동하게 된다.
페이지로 이동해보면 log라고 적혀있다.
해당 페이지에 소스를 보면 hint 로 admin이 주어져 있다.
힌트에 따라서 admin 으로 로그인해보면 you are not admin 이라는 메시지와 함께 로그인이 되지 않는다.
이를 우회하기 위해서 %00(NULL) 문자를 이용해서 우회를 해서 admin 페이지로 이동해보면 로그만 남아있을 뿐 문제는 풀리지 않는다.
로그의 양식을 보면 IP 주소:아이디로 되어있기 때문에 개행문자(%0a)를 이용해서 다음 줄에 자신의 IP 주소:admin으로 우회를 해보면 문제를 풀 수 있다.
Log Injection 이기 때문에 로그를 조작해서 문제를 풀면 된다.
do9dark는 임의로 넣어본 데이터 값이다.
'Wargame > Webhacking.kr' 카테고리의 다른 글
| Challenge 43 (0) | 2015.08.28 |
|---|---|
| Challenge 42 (0) | 2015.08.28 |
| Challenge 41 (0) | 2015.08.15 |
| Challenge 40 (0) | 2015.08.14 |
| Challenge 39 (0) | 2015.08.14 |
| Challenge 37 (0) | 2015.08.12 |
| Challenge 36 (0) | 2015.08.12 |
| Challenge 35 (0) | 2015.08.12 |
| Challenge 34 (0) | 2015.08.12 |
| Challenge 33 (0) | 2015.08.10 |
댓글