https://dreamhack.io/wargame/challenges/336
[wargame.kr] login filtering
Description text I have accounts. but, it's blocked. can you login bypass filtering?
dreamhack.io
I have accounts. but, it's blocked.
can you login bypass filtering?
계정이 있지만 블락됐다고 한다...
내가 로그인 할 수 있게 필터링 해줘야 하는 문제이다.
접속 정보로 가서 아무 값이나 입력해 로그인해봤다.
역시나 틀렸다고 한다.
get source 버튼을 클릭해 소스 코드를 확인했다.
맨 마지막 부분에서 계정 정보를 준다.
주어진 계정 정보 두 가지로 로그인을 시도하면 역시나 블락됐다고 한다.
소스 코드를 확인해 보면 php 코드로
주어진 계정 정보로 로그인을 시도하면 블락됐다고 echo하고
주어진 계정 정보 두 가지가 아니면 로그인 ok라며 플래그 값을 준다.
mysql은 기본적으로 대소문자를 구별하지 않는데
해당 소스코드엔 대소문자를 따로 구별하도록 하는 코드가 없다.
따라서 주어진 계정 정보를 대문자로 입력하면 플래그 값이 나올 것이다!
guest 대신 GUEST를 입력했더니 플래그 값이 떴다!
'CTF > Dreamhack' 카테고리의 다른 글
| [Dreamhack] File Vulnerability Advanced for linux (0) | 2023.04.12 |
|---|---|
| [Dreamhack] session-basic (0) | 2023.04.04 |
| [Dreamhack] Carve Party (0) | 2023.04.04 |
| [Dreamhack] file-download-1 (0) | 2023.03.28 |
| [Dreamhack] php-1 (0) | 2023.03.28 |
