센다이 CTF 2019 NL3.SQL 주입 100

1816 단어 센다이 CTFCTF

문제





풀어봤어



문제의 파일을 살펴 보겠습니다.



이번에도 웹 로그와 DB 로그입니다.
웹 로그를 보았을 때 조금 전의 로그와 같습니다.



공격의 GET의 조금 전에 POST가 있어 그 파라미터를 보면 action=register라고 쓰여져 있어, 유저 등록한 느낌이 있지요.

11/Nov/2019:23:01:33을 DB 로그에서 살펴 보겠습니다.



유저명은 email이라고 하는 것과 같은 것이므로 마스크 해 둡니다.
비밀번호에는 굉장히 견고한 비밀번호라고 생각하기도 했지만, 이것은 해시 값이지요?
기본적으로 해시값은 되돌릴 수 없을 것입니다만, 어느 정도의 일람은 있거나 합니다.
해시 값으로 그대로 Google 검색합니다.



있었습니다.
이것이 대답입니다.

라고 생각하면 달랐다.

문제문을 다시 확인한다.
[フラグ]

[account name]-[password]
例: 仙台太郎-qwerty

계정 이름은 무엇입니까?
이메일 주소가 아닌가.

예가 전각의 이름이 되고 있기 때문에 메일이 아니고 보통 유저의 이름이라고 하는 것인가.



이 fullname의 항목이 계정 이름 같다.

이것을 입력해 보면 정답이었습니다.

좋은 웹페이지 즐겨찾기