뉴비에욤
Webhacking.kr 55번 본문
랭크 페이지 확인
랭크 페이지는 위 사진과 같이 이루어 짐
랭크 페이지 소스를 확인해 보면 위와 같이 힌트가 존재
참 조건 입력 = "localhost / 0" 리턴
거짓 조건 입력 = "//" 리턴
* scroe 파라미터가 인젝션 포인터
* 출력 값을 통해 참/거짓 구분 가능
* information_schema 필터링
* procedure analyse() 사용
* LIMIT 사용하여 테이블 / 컬럼명 확인 가능
* procedure analyse() => 테이블명, 첫 번째 컬럼 리턴
* limit 1,1 procedure analyse() => 두 번째 컬럼 리턴
* limit 2,1 procedure analyse() => 세 번째 컬럼 리턴
패스워드 컬럼명을 알아내고 블라인드 인젝션 스크립트를 이용하여 패스워드 획득
prob55.py'Webhacking.kr' 카테고리의 다른 글
| Webhacking.kr 57번 (0) | 2015.08.16 |
|---|---|
| Webhacking.kr 56번 (0) | 2015.08.16 |
| Webhacking.kr 54번 (0) | 2015.08.16 |
| Webhacking.kr 53번 (0) | 2015.08.16 |
| Webhacking.kr 52번 (0) | 2015.08.16 |
'Webhacking.kr' Related Articles
more
Comments