센다이 CTF 2019 NL3.SQL 주입 100
문제
풀어봤어
문제의 파일을 살펴 보겠습니다.
이번에도 웹 로그와 DB 로그입니다.
웹 로그를 보았을 때 조금 전의 로그와 같습니다.
공격의 GET의 조금 전에 POST가 있어 그 파라미터를 보면 action=register라고 쓰여져 있어, 유저 등록한 느낌이 있지요.
11/Nov/2019:23:01:33을 DB 로그에서 살펴 보겠습니다.
유저명은 email이라고 하는 것과 같은 것이므로 마스크 해 둡니다.
비밀번호에는 굉장히 견고한 비밀번호라고 생각하기도 했지만, 이것은 해시 값이지요?
기본적으로 해시값은 되돌릴 수 없을 것입니다만, 어느 정도의 일람은 있거나 합니다.
해시 값으로 그대로 Google 검색합니다.
있었습니다.
이것이 대답입니다.
라고 생각하면 달랐다.
문제문을 다시 확인한다.
[フラグ]
[account name]-[password]
例: 仙台太郎-qwerty
계정 이름은 무엇입니까?
이메일 주소가 아닌가.
예가 전각의 이름이 되고 있기 때문에 메일이 아니고 보통 유저의 이름이라고 하는 것인가.
이 fullname의 항목이 계정 이름 같다.
이것을 입력해 보면 정답이었습니다.
Reference
이 문제에 관하여(센다이 CTF 2019 NL3.SQL 주입 100), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/samohan/items/421c97df6c940adf6257
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
문제의 파일을 살펴 보겠습니다.
이번에도 웹 로그와 DB 로그입니다.
웹 로그를 보았을 때 조금 전의 로그와 같습니다.
공격의 GET의 조금 전에 POST가 있어 그 파라미터를 보면 action=register라고 쓰여져 있어, 유저 등록한 느낌이 있지요.
11/Nov/2019:23:01:33을 DB 로그에서 살펴 보겠습니다.
유저명은 email이라고 하는 것과 같은 것이므로 마스크 해 둡니다.
비밀번호에는 굉장히 견고한 비밀번호라고 생각하기도 했지만, 이것은 해시 값이지요?
기본적으로 해시값은 되돌릴 수 없을 것입니다만, 어느 정도의 일람은 있거나 합니다.
해시 값으로 그대로 Google 검색합니다.
있었습니다.
이것이 대답입니다.
라고 생각하면 달랐다.
문제문을 다시 확인한다.
[フラグ]
[account name]-[password]
例: 仙台太郎-qwerty
계정 이름은 무엇입니까?
이메일 주소가 아닌가.
예가 전각의 이름이 되고 있기 때문에 메일이 아니고 보통 유저의 이름이라고 하는 것인가.
이 fullname의 항목이 계정 이름 같다.
이것을 입력해 보면 정답이었습니다.
Reference
이 문제에 관하여(센다이 CTF 2019 NL3.SQL 주입 100), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/samohan/items/421c97df6c940adf6257텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)