워게임200 dragon ?pw=(개행) and pw='' or id='admin'# url encoder에서 개행해보면 %0a인 것을 알 수 있다. [**] MySQL에서는 주석이 있더라도 개행하면 다음 줄은 주석에서 벗어나게 된다. 또한 세미콜론을 만나기 전까지 쿼리문이 이어진다. 2021. 10. 4. [**] xavis pw - prob _ . () regex like 필터링 그냥 여태 하던대로 길이 구하고 하나씩 구하면 안되나??? 평소 하던대로 ?pw=' or id='admin' and length(pw)=i# 이런식으로 길이를 비밀번호 길이를 구했다. 12가 나왔다. 또 한글자 한글자 비밀번호를 구하려고 했는데 코딩 제대로 한 것 같은데 아무값이 나오지 않고 종료됐다. 삽질 좀 하다가 롸업을 봤다. 내가 풀던 방식대로 풀다가 안됐으면 다른 문자인가? 를 고민했어야 했다. select length('abcd') -> 4 select length(hex('abcd')) ->8 이 나오는 것을 확인했다. ?pw=' or id='admin' and length(hex(pw))=24# 하니까 Hello admin이 출력됐다.. 2021. 10. 4. [**] nightmare (묵시적 형변환) pw -> prob _ . () # - 필터링 pw 길이는 6보다 크면 안된다. 묵시적 형변환이란? 조건절에 있는 데이터 타입이 다르면 '우선 순위가 높은 쪽'으로 내부적으로 형변환이 발생한다. - 문자는 0으로 취급된다. - 우선순위 : 정수형 > 문자열 - 문자가 정수로 형변환된다. [**] 정수 컬럼을 문자열로 검색 j : integer column s : varchar column select * from table where j = '1234' -> j=1234인 열이 검색된다. idx : integer column select * from table where idx='a' 'a'가 0으로 변환된다. idx 컬럼이 0으로 셋팅된 데이터들만 반환된다. [**] 문자열 컬럼을 숫자로 검색 id :.. 2021. 10. 4. granny 롸업 정리 nmap gobuster 해봤지만 시간만 엄청 걸리고 뭐 나오지도 않았다. davtest 테스트 실행 파일을 업로드한 다음 명령 실행이나 다른 작업을 대상에서 직접 수행할 수 있도록 파일을 업로드하여 webdav 지원 서버를 테스트하는 툴 davtest -url http://10.10.10.15 [**] http:// 안붙이면 이상하게 나온다. asp, aspx failed. 이 확장자로 파일을 올릴 수 없는 것 같다. 그러나 txt, html 같은 확장자는 success. PUT이 허용된 유일한 http method가 아님을 기억하라. (앞의 nmap의 결과에서 Public options에 많은 메서드가 나와있다.) MOVE는 웹 서버에서 파일 위치를 변경할 수 있을 뿐만 아니라 파일 이름을 바꾸는 데.. 2021. 10. 3. zombie_assassin addslashes : ' -> \' 변환 strrev : 문자열 뒤집기 id, pw - prob _ . () 필터링 id에 아무값이나 넣고 pw에 ' or 1=1# \'인데 strrev하니까 '\ ?id='"&pw=%23%201=1%20ro%20 2021. 10. 3. succubus id, pw - prob _ . () ' 필터링 ?id=\&pw=or 1=1%23 2021. 10. 3. 이전 1 ··· 17 18 19 20 21 22 23 ··· 34 다음
