728x90 pico2 2023 Pico CTF writeup (web/More SQLi) 이번 문제는 진짜 삽질만 엄청 했던 문제다 ㅎㅎ 문제를 보면 이 웹사이트에서 flag를 찾을 수 있냐라고 묻고 있다. 사이트를 들어가 보면 로그인 창이 나온다. 우선 간단한 로그인 우회를 해봤는데 쿼리문이 username이랑 password랑 순서가 바뀌어 있어서 다시 시도해봤다. 어라...? 처음엔 필터링이 걸려있나 했는데 출력되는 걸 보니 필터링은 아닌 것 같고.... 이것저것 바꿔보면서 시도하던 중 혹시 주석이 문젠가 하고 --을 입력해 봤더니 로그인에 성공했다! (이때 알아차렸으면 내 미래가 좀 달라졌을까....) 이제 검색창에 인젝션을 시도해 봐야 되는데 union을 쓰면 될 거 같아 시도해 봤다. 먼저 칼럼수를 알아내기 위해 ' union select 1 --부터 하나하나 늘려갔더니 3까지 입.. 2023. 3. 30. 2023 Pico CTF writeup (web/find me) 이번에 동아리 부원들, 현직에 계신 멘토 한분과 함께 pico ctf에 참여하게 되는 기회가 생겼다. ctf에 몇 번 참여한 경험은 있지만 오프라인으로 모여 멘토분의 피드백을 들을 기회가 흔치 않아 더 도움 되는 기회였던 거 같다. 일단 웹 위주로 풀어보았고 계속 푸는 중이므로 flag를 찾은 문제들 부터 차근차근 writeup을 쓸 예정이다.( 이 글은 pico ctf가 끝나고 공개될 예정) 서론은 그만하고 문제를 봐보자. 우선 문제에 id와 pw가 나와있고 테스트를 도와달라고 써있다. 힌트에 any redirction이라 쓰여있는 걸 보고 처음에 세션을 읽어보면 될 것 같았다. 우선 지정된 id와 pw로 접속을 해보았다. 로그인을 해보니 이런 홈페이지가 나왔는데 아래 문구를 보니 여기로 리디렉션 되었.. 2023. 3. 30. 이전 1 다음 728x90
