티스토리 뷰
SCP 동아리에서 학과 행사로 주최한 CTF로 초보자들을 위한 난이도입니다.
제가 출제했던 WEB 문제들의 출제 의도와 write-up입니다.
JBU CTF
jbuctf.online
문제 이름 : phpDB
출제 의도
- 코드를 보고 설정되어 있는 제한을 변경할 수 있는지 확인
- PHP는 대소문자를 구분하지만, mysql은 대소문자를 구분하지 않음에서 발생할 수 있는 취약점을 알고 있는지 확인
문제 풀이
패스워드는 password123이라고 주어져 있다.
우리는 입력창에 password123이라고 입력만 하면 된다.
그래서 공개되어 있는대로 password123을 입력하려하면 패스워드가 5자리 이상은 입력되지 않는다.
코드를 확인해보면, maxlength가 5로 설정되어 있는 것을 알 수 있다.
그래서 제한을 풀어주기 위하여 maxlength의 숫자를 크게 수정해준다. (아예 지워줘도 됨)
수정 후 password123을 입력하면 틀렸다는 문구가 출력된다.
문제의 제목과 힌트에서 알 수 있듯, 이번 문제는 PHP와 DB의 차이점을 이용하는 문제이다.
PHP는 대소문자를 구분하지만 mysql에서는 대소문자를 구분하지 않는다.
그래서, maxlength를 수정 후 password123을 대소문자를 섞어서
PASsWord123 이런 식으로 입력해주면 플래그가 나온다.
이번 문제 역시 둘의 차이점만 안다면 쉽게 풀 수 있는 문제이다.
'외부 활동 > 외부 활동' 카테고리의 다른 글
| JBU CTF WEB 6번 문제 & write-up (0) | 2020.04.03 |
|---|---|
| JBU CTF WEB 5번 문제 & write-up (2) | 2020.03.08 |
| JBU CTF WEB 3번 문제 & write-up (0) | 2020.03.08 |
| JBU CTF WEB 2번 문제 & write-up (0) | 2020.03.08 |
| 꿈의 대학 강의 진행 (0) | 2019.06.24 |
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday