- 문제경로
- 문제풀이
[문제경로]
https://webhacking.kr/challenge/web-03/
Challenge 3
webhacking.kr
[문제풀이]
1. 첫 페이지에 Nonogram 이 있어서 간단하게 해결했다.
2. 두 번째 페이지는 다음과 같이 입력하고 제출할 수 있는 환경으로 구성되어 있다.
이것만으로는 정보가 부족하여 Ctrl+U를 통해 소스 코드를 확인해 봤다.
<html>
<head>
<title>Challenge 3</title>
</head>
<body>
<center>Nonogram</center>
<p>
<hr>
<form name=kk method=get action=index.php>
</form>
<form method=post action=index.php>
<input type=hidden name=answer value=1010100000011100101011111>
# 사용자에게 표시되지 않는 숨겨진 입력 필드를 생성, 입력 필드의 이름을 answer로 설정, answer의 기본값을 "1010100000011100101011111"로 설정
Clear!<br>enter your name for log :
# 텍스트 표시
<input type=text name=id maxlength=10 size=10>
# 텍스트 입력 필드 생성, 입력 필드의 이름을 "id"로 설정, 입력 가능한 최대 문자 수를 10으로 제한, 입력 필드의 사이즈를 10으로 설정
<input type=submit value='submit'>
# 제출 버튼 생성, 버튼의 텍스트를 "submit"으로 설정입력 필드가 가시적인 필드와 비가시적인 필드로 구분된 것을 알 수 있다.
3. 사용자에게 보이는 입력 필드 "id"에 SQL Injection을 시도해 봤다.
시도한 결과는 다음과 같다.
가시적인 입력 필드 "id"에 집어넣은 값이 그대로 출력되고, 비가시적인 입력 필드 "answer"의 기본 값도 그대로 넘어간 것을 확인할 수 있다.
4. 그러면 Burp Suite로 비가시적인 입력 필드 "answer"의 값에다 SQL Injection을 시도해 보겠다.
Forward 하자마자 문제가 해결되었다.
'Wargame & CTF > Webhacking.kr' 카테고리의 다른 글
| [Webhacking.kr] old-06 (0) | 2024.04.10 |
|---|---|
| [Webhacking.kr] old-16 (0) | 2023.09.22 |
| [Webhacking.kr] old-15 (0) | 2023.09.17 |
| [Webhacking.kr] old-17 (0) | 2023.09.17 |
| [Webhacking.kr] old-01 (0) | 2023.09.15 |