Webhacking.kr 38번
일단 문제를 보면 Log Injection이라고 나옵니다.
Log Injection이란 spl lnjection 처럼 파라미터를 통해 로깅을 조절하는 방법을 말합니다.
여기서 로깅은 프로그램 개발이나 운영 시 발생하는 문제점을 추척하거나 운영 상태를 모니터링 하기 위한 텍스트입니다.
다시 문제로 돌아와서 페이지 소스를 살펴보니
login 버튼을 누르면 값이 전달되고 admin 값을 누르면 admin.php로 이동한다는 걸 알게 됩니다.
그래서 admin을 차고 login을 누르게 되면 이렇게 admin이 아니라고 한다.
그렇다면 다른 계정으로 들어가볼까?
yell이라는 계정으로 들어가봅시다.
그럼 yell의 ip값이 있는 log가 나타나게 됩니다.
그렇다면 yell은 되면서 왜 admin은 안될까? 혹시 몰라 admin 앞에 공백을 줘봤다. (\n admin)
그럼 저렇게 admin이 밑으로 내려갔다는 것을 알 수 있었다.
이렇게 admin 앞에 무언가가 있어야 된다고 깨닫고 Log Injection에 대해 찾은 블로그를 참고해서 플래그 값을 적었더니
해결이 됐습니다 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
'Wargame write up > webhacking.kr' 카테고리의 다른 글
Webhacking.kr 24번 (0) | 2019.01.31 |
---|---|
Webhacking.kr 16번 (0) | 2019.01.31 |
Webhacking.kr 14번 (0) | 2019.01.28 |
Webhacking.kr 4번 (0) | 2019.01.28 |
Webhacking.kr 26번 (0) | 2019.01.28 |