webhacking.kr 53번 Write Up :) 소스보기를 해보자. answer값이 $hidden_table 과 ==되면 풀리는. 필터링 select,by 그러면 일단 우리는 procedure analyse() 함수에 대해 알아야 한다. procedure analyse() 이용하면. 테이블 명을 얻을수 있다고한다. 굿. ?answer=

webhacking.kr 54번 Write Up :) 끾 f12->네트워크 한글자 한글자 정성스럽게 모아서 플래그 입력해보자. 긋

webhacking.kr 42번 Write Up :) 끾 text.txt를 다운.. ㅇㅅㅇ flag.docx는 거부당했다. 소스보기.-> base64가 보인다. 여기서 풀어주자. text.txt . flag.docx를 base64로 인코딩 해준후 . 관리자 도구로 바꿔주자. https://www.base64decode.org/ Base64 Decode and Encode - Online Decode from Base64 or Encode to Base64 - Here, with our simple online tool. www.base64decode.org

webhacking.kr 39번 Write Up :) 끾 39번문제입니다. 소스보기.Go. 소스. str_replace("\\","",$_POST['id']); \\값은 공백으로 str_replace("'","''",$_POST['id']); '는 - > ' '로 변환 한다고 합니다. substr($_POST['id'],0,15); //0자리 에서 15자 리 까지만 받는다고 합니다. id='{$_POST['id']} ' '가 빠졌다. 일단 무조건 입력값뒤 에 ' a ' 요렇게 값을 던져주면. '가 - > ''로 되는데 substr함수 떄문에 . 15까지만 읽으니까. a'

webhacking.kr 38번 Write Up :) 로그 인젝션 문제다. 일단. 소스보기를. 해봅시다. LOG INJECTION admin.php 이동해봅시다. 암튼. 내아이피:입력값. 이렇게 로그 가 나오는데. admin으로 로그인하면 풀립니다. // admin값은 필터링 내아이피:admin을 값으로 제출해봤는데 내아이피:내아이피:admin이렇게 받아버린다. 처음 페이지에서 input태그를 textarea로 바꾼후. 이렇게 값을 바꾸고 admin.php gogo 굿 내가 보낸 값 admin 내아이피:admin 에서 내아이피:admin으로 1번받고. 다시 내아이피:admin 으로 받아서 admin필터링을 피해주고. admin으로 로그인..

webhacking.kr 32번 Write Up :) 끾 1등부터 ~~1012등 까지 보입니다. Ctrl+F 로 자신 아이디 찾은후. Hit해보았는데. 1이 ++ 2번 이상은 막혔네요. 쿠키 값 . 차단후 광클릭 하시면 됩니다. 굿