○ 예선전 15번 문제
이번 문제는 Blind SQL Injection 문제로 포인트를 찾기가 매우 어려웠던 문제였다. 정말 꼼꼼하게 잘봐야 탐지가 가능할거 같다.
■ 예선전 15번 문제 화면
invalid-file→ 문제 힌트와 연결 페이지 화면
→ 문제 페이지로 이동한 화면
→ 소스코드에 관리자 페이지 URL이 나타난 화면
→ 주석으로 현재 시간이 출력된 화면(인젝션 탐지에 쓰임)
→ 관리자 페이지에 연결한 화면
→ BOARD 게시판에 연결한 화면
■ 문제 풀이 화면
15번 페이지에 접근하면 Cookie에 time 값이 세팅이 된다. 여기가 인젝션 포이트가 되며 소스보기의 주석으로 시간이 출력되는데 여기가 탐지 포인트가 된다.
→ Blind SQL injection을 통해서 admin의 패스워드 획득
패스워드 Query : and(select ascii(substring(password,1,1))from admin)=97
관리자 패스워드 : ad123qwe
관리자 패스워드 : ad123qwe
패스워드 Query : and(select ascii(substring(password,1,1))from FreeB0aRd)=55
게시물 패스워드 : 755e96859
게시물 패스워드 : 755e96859
→ 패스워드 획득 화면
Zip File :
invalid-file
