1. 5주차 SQL injection 인증우회 문제풀이(1)


※ 주의 사항 :

1. 교육 목적으로만 이용 해주세요.
2. 무단 침입, 데이터 유출, 개인 정보 침해 등 불법적인 활동은 심각한 법적 결과를 초래할 수 있습니다.
3. 개인적인 테스트 환경을 구축해서 실습하시길 바랍니다.


1.1  1번 문제


1


▶ 목표 : doldol 계정이 아닌 admin 계정으로 접속하기!!!


1.1.1 주어진 정보 dodol 로 로그인 직접 해보기


2

3

직접 해보니 doldol로 로그인이 가능하다는 사실을 알 수 있었고, burp suite 으로 확인한 결과 로그인 할 때 POST 방식으로 데이터를
서버로 전송하고 있네요.


1.1.2  서버로 보내는 데이터 확인하기


</span>

4

doldol로 로그인 할 때 쿠키 형식으로 보내서 set-cookie 가 나타났습니다.


</span>

5

그래서 로그인 된 화면은 쿠키가 있는 것으로 확인 되네요. 쿠키는 로그인이 될 수 있게 도움을 줍니다
하지만 클라이언트 측에서 정보를 조작할 수 있다는 치명적인 단점이 있습니다.
이것을 이용해서 저희가 접속해야 할 admin 계정으로 조작해봅시다.


6

cookie의 doldol를 admin으로 조작하고, 서버의 반응 값을 보니 flag가 나타나네요.

댓글남기기

참고