반응형 드림핵6 드림핵 워게임 sql injection bypass WAF 문제 풀이 정리 (Level 1) 드림핵 사이트의 워게임 중 웹 해킹 관련sql injection bypass WAF (Level 1) 문제에 대해서 정리 해보려 합니다 Exercise: SQL Injection Bypass WAF에서 실습하는 문제입니다. 아래와 같이 uid를 입력하면 쿼리가 완성되는 화면이 보인다 먼저 admin이라고 입력을 진행 해본다 WAF의 의해 필터링이 됨을 확인 할 수 있다 여기서 어떠한 키워드가 필터링이 되는지 추가로 입력을 해본다(물론, 제공된 소스로 확인 하는것이 제일 빠르지만 소스가 없다는 가정으로 조금 더 시도 해본다)아래 입력한 것 대부분이 필터링이 되는것을 확인# 필터링이 되는지 시도해본 것들' #공백' -- .. 2024. 11. 8. 드림핵 워게임 blind sql injection advanced 문제 풀이 정리 (Level 2) 드림핵 사이트의 워게임 중 웹 해킹 관련blind sql injection advanced (Level 2) 문제에 대해서 정리 해보려 합니다 Exercise: Blind SQL Injection Advanced에서 실습하는 문제입니다.관리자의 비밀번호는 "아스키코드"와 "한글"로 구성되어 있습니다. 문제 설명에서 보며 아스키코드로만 되어있으면 수월 했을텐데 한글이 포함되어있어 이부분이 문제 해결의 관건일 것으로 보인다 → aaa 라는 값을 입력했을 경우에는 아무것도 나오지 않는 것을 확인 → admin 값을 입력했을 경우에는 ID가 존재한다고 나온다 → admin 값이 참인것을 확인 했으니 admin 조건을 포함한 참이 되는 입력했을 경우에는 ID가 존재한다고 나온다이런정보를 활용해서 비밀번호 .. 2024. 11. 3. 이전 1 2 다음 반응형
