Webhacking.kr 38번

  Webhacking.kr 38번

이 문제를 푸시려면 https://unabated.tistory.com/entry/Log-Injection 를 보시고 이해를 하시면 됩니다.

일단 문제를 보면 Log Injection이라고 나옵니다.

Log Injection이란 spl lnjection 처럼 파라미터를 통해 로깅을 조절하는 방법을 말합니다.

여기서 로깅은 프로그램 개발이나 운영 시 발생하는 문제점을 추척하거나 운영 상태를 모니터링 하기 위한 텍스트입니다.

다시 문제로 돌아와서 페이지 소스를 살펴보니

login 버튼을 누르면 값이 전달되고 admin 값을 누르면 admin.php로 이동한다는 걸 알게 됩니다.

그래서 admin을 차고 login을 누르게 되면 이렇게 admin이 아니라고 한다.

그렇다면 다른 계정으로 들어가볼까? 

yell이라는 계정으로 들어가봅시다.

그럼 yell의 ip값이 있는 log가 나타나게 됩니다.

그렇다면 yell은 되면서 왜 admin은 안될까? 혹시 몰라 admin 앞에 공백을 줘봤다.  (\n admin)

그럼 저렇게 admin이 밑으로 내려갔다는 것을 알 수 있었다.

이렇게 admin 앞에 무언가가 있어야 된다고 깨닫고 Log Injection에 대해 찾은 블로그를 참고해서 플래그 값을 적었더니 

해결이 됐습니다 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!