티스토리 뷰
38번 문제는 log injection 문제이다.
코드를 보면 admin.php라는 문장이 주석처리되있다. 이게 힌트같다.
admin.php로 들어가니 ip:문자열이 출력되어 있다.
코드를 보니까 admin이 힌트라고 써져있다.
첫 페이지로 돌아와 admin을 입력하였다.
you are not admin이라는 메시지가 출력된다. admin이라는 단어가 필터링처리 되어있다.
admin이 아닌 단어를 입력했을때는
로그에
자신의 Ip:입력한단어
와 같이 쓰여진다. 이곳에 자신의IP:admin이 기록되도록 해야 문제가 풀리는 것같다.
개행문자 \n을 이용하면된다.
[임의의 단어]\n[자신의 IP주소]:admin 를 입력하고 login버튼을 클릭하면
[내 IP]:[임의의 단어]
[내 IP]:admin
와 같이 기록될 것이다.
위에서 설명한대로 입력해서 로그인버튼을 클릭한 후 admin버튼을 클릭하면 문제가 풀린다.
'hacking > webhacking.kr' 카테고리의 다른 글
| <webhacking.kr> - 25번 (0) | 2018.02.01 |
|---|---|
| <webhacking.kr> - 47번 (0) | 2018.01.31 |
| <webhacking.kr> - 26번 (0) | 2018.01.26 |
| <webhacking.kr> - 24번 (0) | 2018.01.26 |
| <webhacking.kr> - 4번 (0) | 2018.01.24 |