googleAdsense_widever


hackthissite - realistic - 2 해킹

타켓 사이트 :: http://www.hackthissite.org/missions/realistic/2/


소스를 본다.
언뜻 놓치고 별거 없네 하기 쉬운데(나만 그럴지도.)
맨 아래에
<center>  <a href="update.php"><font color="#000000">update</font></a>  </center> 
이런 부분이 있다.
크롬 개발자 도구 > element에서 돋보기로 요소검사를 해보면 이 부분은 보이지 않게 처리되어 있다. #000000 이므로 배경이랑 같은 검정색인 것이다.
해당 링크로 이동하면
enter your username and password, white brother! <-orm action="http://www.hackthissite.org/missions/realistic/2/update2.php" method="post" style="font-family: Gulim; line-height: normal; font-size: medium; ">username   password  
로그인 창이 보인다.
혹시나 해서 'or 1=1-- 를 입력해보니 sql error 라고 뜬다.
sql injection이 통한다는 말이다. sql injection은 가장 기본적이고 실용적인 스킬이므로 모른다면 알아서 찾아보길 권함.
사이트 메인에 있는 id 들을 보고 username에 입력한 뒤, password 에 인젝션 하니 그냥 error만 뜬다.
username과 password에 보두 넣어도 에러.
username에만 인젝션 하고, password 부분은 비워두니 통과가 된다.
이것도 역시 hackthissite가 그렇게 조건검열을 했기 때문이고, 애초에 sql injection이 먹히는 사이트라면 다른 경우에도 그냥 pass된다.
p.s. 어제 오늘 갑자기 hackthissite 라는 태그만 올려서 이것만 시커멓게 칠해질 것 같다.

덧글

댓글 입력 영역


공지

어서오십시오.
트위터 : @FCliver
기저심리학 : 네이버카페
카카오톡 : FCliver
페이스북 : Fredric Cliver

통계 위젯 (화이트)

08
111
285969

접속자 위치