webhacking.kr 38번 Write Up :) 끾

 

webhacking.kr 38번 Write Up :)

 

로그 인젝션 문제다. 일단.

소스보기를. 해봅시다.

<html>
<head>
<title>Challenge 38</title>
</head>
<body>
<h1>LOG INJECTION</h1>
<form method=post action=index.php>
<input type=text name=id size=20>
<input type=submit value='Login'>
</form>
<!-- <a href=admin.php>admin page</a> -->
</body>
</html>

admin.php 이동해봅시다.

암튼. 내아이피:입력값.

이렇게 로그 가 나오는데.

admin으로 로그인하면 풀립니다.

// admin값은 필터링

내아이피:admin을 값으로 제출해봤는데

내아이피:내아이피:admin이렇게 받아버린다.

처음 페이지에서 input태그를 textarea로 바꾼후.

 

이렇게 값을 바꾸고 admin.php gogo

굿

내가 보낸 값

admin

내아이피:admin

에서

내아이피:admin으로 1번받고.

다시 내아이피:admin

으로 받아서 admin필터링을 피해주고.

admin으로 로그인..