웹 해킹94 [드림핵] baby-sqlite 풀이 https://dreamhack.io/wargame/challenges/1 baby-sqlite 로그인 서비스입니다. SQL INJECTION 취약점을 통해 플래그를 획득하세요! 해당 문제는 숙련된 웹해커를 위한 문제입니다. dreamhack.io sqlite에서 일어날 수 있는 sqli 문제이다. 특별할 것 없어보인다. 바로 코드를 확인해보자. #!/usr/bin/env python3 from flask import Flask, request, render_template, make_response, redirect, url_for, session, g import urllib import os import sqlite3 app = Flask(__name__) app.secret_key = os.ura.. 2024. 1. 10. [드림핵] out of money 풀이 보호되어 있는 글 입니다. 2024. 1. 10. [드림핵][wargame.kr] type confusion 풀이 보호되어 있는 글 입니다. 2024. 1. 10. [드림핵] web-misconf-1 풀이 https://dreamhack.io/wargame/challenges/45 web-misconf-1 기본 설정을 사용한 서비스입니다. 로그인한 후 Organization에 플래그를 설정해 놓았습니다. Reference Server Side Basic dreamhack.io 간단하게 풀 수 있는 문제였다. org_name에 flag가 담겨있는 것을 확인할 수 있다. 웹 서버에서 org_name을 찾아봐야겠다. 문제에서 제공하는 코드를 통해 admin 기본 아이디와 비밀번호를 알 수 있다. 해당 페이지에서 flag를 구할 수 있다. 짜잔 이 문제는 default 아이디와 비밀번호를 사용하면 보안에 취약하다는 문제였다. 2024. 1. 8. 이전 1 ··· 8 9 10 11 12 13 14 ··· 24 다음 반응형
