보안 공부/webhacking.kr

webhacking.kr 3번 풀이

sh1256 2021. 12. 4. 12:23
728x90

첫화면 게임 네모네모 로직!

첫화면에 게임이 나온다 일단 간단한 문제니까 풀어보자

(프로그래밍과 관련 1도 없으니까 그냥 위 사진 보고 따라하셔도 됩니다. )

게임방법 --> https://ko.wikipedia.org/wiki/%EB%85%B8%EB%85%B8%EA%B7%B8%EB%9E%A8

 

노노그램 - 위키백과, 우리 모두의 백과사전

노노그램(영어: Nonogram, 일본어: お絵かきロジック 오에가키로짓쿠[*])은 일본의 퍼즐 게임이다.[1] 각각 적혀있는 숫자를 보면서 숨겨져 있는 숫자를 예상하여 지워나가면서 그림을 그리는 게임

ko.wikipedia.org

solve를 누르고 정답을 맞췄다면 이런 페이지로 넘어간다. 
빈칸에 sh라고 입력후 submit을 누르면 이런 창이 뜹니당

처음에 answer에 단서가 있는 줄 알고 십진법으로 돌려봤지만 ㅎ 저건 그냥 모노그램의 답이였다. 

answer값의 이유;;

일단 ctrl+shift+i 로 개발자 도구를 열어봐도 얻는게 달리 없엇어요

그래서 이 프로그램을 킵니다. 

https://portswigger.net/burp/communitydownload

 

Download Burp Suite Community Edition - PortSwigger

Burp Suite Community Edition is PortSwigger's essential manual toolkit for learning about web security testing. Free download.

portswigger.net

Burp Suite는 웹 프록시 툴로 서버와 클라이언트 간의 요청 및 응답 패킷을 Intercept 하는 것을 가능하게 해줘요

일단 name을 test로 해서 넣어 보고 Burp Suite를 켜 봅시다.

저기저 23번째 줄

저기 맨 밑에 answer부분에 sql injection을 시도해 보죠

sql injection 이란--> https://noirstar.tistory.com/264

 

SQL Injection 이란? (SQL 삽입 공격)

1. SQL Injection  1.1 개요 Ÿ   SQL Injection SQL Injection 이란 악의적인 사용자가 보안상의 취약점을 이용하여, 임의의 SQL 문을 주입하고 실행되게 하여 데이터베이스가 비정상적인 동작을 하도록 조작

noirstar.tistory.com

 

다양한 sql injection 구문들 --> https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=isc0304&logNo=220594576257 

 

[발췌] SQL 인젝션에 사용되는 해킹 구문

해킹 사고의 재구성 작가 최상용 출판 에이콘출판 발매 2012.08.29. 리뷰보기 1. 기본 1.1. http://xxx.xxx...

blog.naver.com

가장 많이 사용하는 ' or 1=1# 를 입력해 봅시다 

 

그리고 Forward를 클릭하면 문제를 풀 수 있게 됩니다.