워게임200 evil_wizard same with hell_fire? really? 를 보고 트릭이 더 있는 문제인가 싶었다. 근데 아무리 봐도 똑같은 것 같다. 그래서 일단 hell_fire 방법으로 풀어봐야겠다고 생각했다. 근데 hell_fire 방법 그대로 풀렸다;;;; 아마 hell_fire를 다른 방식으로 푸는 게 출제자의 의도였던 것 같다,,,, ?order=length(email)=30,id%23 일 때 admin이 아래로 간다. admin의 email 길이는 30이다. import requests import threading cookies={"PHPSESSID":""} roo = "_rubiya805@gmail.cm" ad_email="" for i in range(1, 31): for c in range(33, 128.. 2021. 10. 6. hell fire(order by) order로 정렬한다. id email score을 출력하는데 id가 admin이면 email은 ***로 출력된다. 쨌든 admin의 email을 알아내야 하는 것 같은데... order by 뒤에 or이나 and 넣으면 무슨 일이 일어나는지 모르겠다. sql 특징 파악하기 ?order=id='admin'# ?order=id='rubiya'# order by 컬럼명 = "~~" => 일치하는게 밑에 출력되는 듯.... order by length(email)=4 라고 하면 다른 값들은 따로 정렬이 안되고 email 길이가 4인 것만 맨 밑으로 출력된다. order by length(email)=4, id라고 하면 email 길이가 4인 것만 맨 밑으로 출력되고(고정) 나머지들은 id로 정렬된다. emai.. 2021. 10. 5. dark_eyes(error based sqli 심화) 이번엔 if도 같이 필터링 됐다. select 1 union select 1 -> 1(row 1개) select 1 union select 2 -> 1,2(row 2개) 이 개념을 이용해서 쿼리를 작성할 수 있을까... 비밀번호 길이 구하기 ?pw=' or id='admin' and (select(length(pw)=16) union select 1)%23 만약 admin의 pw 길이가 16이면 앞절에서 1반환. union해서 1개 row 반환하므로 오류 안난다. 그런데 만약 pw길이가 다르다면 오류가 나서 아무것도 안나온다. import requests i=0 cookies = {"PHPSESSID":""} while True: url = f"https://los.rubiya.kr/chall/dark_.. 2021. 10. 5. grandpa 롸업 정리- 다시해보기 nmap 전에 봤던 webdav다. granny였나 스캔 결과가 거의 동일해보인다. http method 관련해서 어떻게 했었던 것 같은데.. davtest --url http://10.10.10.14 이번에는 success인 확장자가 하나도 없다. searchsploit microsoft iis 6.0 롸업에서 말하길, Several people I know have tried to solve this box without using Metasploit and have failed to because the shell you get back is too unstable. Therefore, I’ll be solving this box using Metasploit. searchsploit의 결과로 나오.. 2021. 10. 5. arctic 롸업 정리 nmap 나는 rpc갖고 삽질했다. rpcclient, rpcinfo.. 등등 명령어를 실행했지만 아무것도 connect되지 않았고 별 다른게 나오지 않았다. 롸업을 보니 fmtp에 주목했다;;; 그리고 10.10.10.11:8500에 접속했다. 접속하는데 30초 정도 걸린다고 한다. 이게 접속이 언제 되는지 알고 기다릴까 /CFIDE/administrator 페이지 하나 넘어갈 때마다 30초 걸린다 말이 되냐 default password 나오지도 않는다. searchsploit coldfusion 8 버전 8 RCE로 하니까 바로 익스됐다. user.txt도 바로 확인할 수 있었다. 권한상승 windows exploit suggester 권한 관련, metasploit 아닌 것 걸러서 해보면 된다. .. 2021. 10. 5. iron_golem(참 거짓을 판별할 수 없는 blind sqli) 보통 참 거짓을 판별할 수 없는 blind sql injection에서는 시간 지연(sleep, benchmark 함수)을 이용해 해결한다. 하지만 여기서는 필터링되어있다. 그럼 error based sql injection임을 파악할 수 있다. 쿼리를 날렸을 때 에러가 발생하면 그 에러를 출력하라. 즉, 에러가 나지 않는다면 아무것도 안나오겠지? 에러가 발생한다는 것은 문법적으로 틀리는 등이어야 한다. 해당 데이터가 없는 것과는 다르다. 일단 pw 길이 파악이 우선이다. pw=' or id='admin' and if(length(pw)=1, (select 1 union select 2), 1)# 1값을 계속 바꾸면서 진행한다. length(pw)=32일 때 즉, admin의 pw 길이는 32라는 의미이.. 2021. 10. 5. 이전 1 ··· 16 17 18 19 20 21 22 ··· 34 다음
