[webhacking] old-3 (진행 중)

 

모노그램 문제! 저 틀에 맞추어 색을 칠하면 될 것 같다....

 

한 번 클릭하면 타일이 검은색으로 바뀌어서 문제를 풀어 주었다.

 

solved를 누르니 이름을 적으라는 칸이 떴다.

 

이름을 적어 submit을 누르니 answer과 ip 주소가 떴다.

 

다른 이름으로도 여러 번 넣어 봤는데 이름만 달라지고 같은 값이 출력되었다.....!

 

answer가 답인 건가 싶어서 변환해서 넣어 보고 그냥 2진수 그대로 넣어 보기도 했는데 둘 다 아니었다.

 

그래서 구글링을 해 보다가 SQL Injection 공격이라는 것을 알게 되었다.

(참고: https://noirstar.tistory.com/264)

 

블로그 글을 참고해 'or 1=1--  구문을 넣어 주었는데 이렇게 푸는 문제가 아닌 것 같다....

 

<html>
<head>
<title>Challenge 3</title>
</head>
<body>
<center>Nonogram</center>
<p>
<hr>

<form name=kk method=get action=index.php>

</form><form method=post action=index.php><input type=hidden name=answer value=1010100000011100101011111>Clear!<br>enter your name for log : <input type=text name=id maxlength=10 size=10><input type=submit value='submit'>

페이지의 소스를 확인했는데 value의 값이 1010100000011100101011111로 고정되어 있다.

 

여기서 막힌 탓에 다른 분들 라이트 업을 참고했는데 Burp Suite라는 툴을 사용해 문제를 푸는 분들이 많아 나도 Burp Suite를 사용해 보려고 한다.

(다운로드 방법 참고: https://securityspecialist.tistory.com/113)

 

 

라이트 업을 참고해도 이해가 가지 않는 부분이 있어 조금 더 공부해 보고 풀어야 할 듯.... 보류!