검색결과 리스트
글
처음에는 이게 뭔가 싶었다.
코드를 보니 25까지 칸이 있고 Value 가 0으로 설정되어 있으며 type 이 hidden 으로 설정되어있었다.
보니까 5X5 에서 onclick 이벤트로 누르면 반전시키게 되어있었다.
그래서 생각해보니 아니 이게 뭐야! 익숙한 네모네모 로직이 아니었던가!
재밌게 풀고 GOGO! 를 눌렀다.
그랬더니 다음과 같은 이름을 입력하라는 창이 나온다.
그래서 내 ID 를 입력해 봤더니 다음과 같이 answer 와 IP 가 나왔다.
answer 에 있는 1010100000111 어쩌구 저쩌구를 복사해서
Auth Key 로 입력하니 틀렸다고 나온다.
Value 값을 보니 25까지 value 값을 다 더하는 스크립트로 Answer 가 나오는 거 였다.
그리고 다시 결과를 보니
다음과 같이 name, answer, ip 가 있길래 DB에 들어가지 않을까 싶어서
value 값에 SQL Injection 을 해서 다음과 같이 해보았다.
하지만 이런식으로 해킹하지 말라고 나왔다.
여러 조합으로 해보니 or 이랑 = 을 필터링 하는 것 같았다.
그러다 or 의 역할을 하는 연산자 || 를 입력했고, = 대신에 True 를 입력했다.
이렇게 하니 name 은 admin으로 나오고 answer 값이 나왔다.
위 이미지에서 ip 58.74.230.208 로 나온건 aa, 쿼리문 만들어서 넣어놨는데 저렇게 나왔다.
성공!
'Hacking > Web Hacking' 카테고리의 다른 글
| Suninatas 23번 문제 (0) | 2018.09.20 |
|---|---|
| Suninatas 22번 문제 (0) | 2018.09.20 |
| Webhacking.kr 14번 문제 (0) | 2018.09.18 |
| Webhacking.kr 15번 문제 (0) | 2018.09.18 |
| Webhacking.kr 2번 문제 (0) | 2018.09.18 |
RECENT COMMENT