개인 공부/WEB46 [웹해킹] LOS 1 - (Gremlin) Lord of sql injection - gremlin 풀이 먼저 php문을 살펴보겠습니다. 우선 preg_match 함수를 통해, 'prob' , '_' , '.' , '()' 에 필터링이 되어있습니다. ( i는 필터링시 대 소문자를 구분하지 않는다는 뜻.) $query = "select id from prob_gremlin where id='{$_GET[id]}' and pw='{$_GET[pw]}'"; 그리고 쿼리문을 살펴보면, id와 pw가 둘 다 참일때, id를 prob_gremlin 테이블에서 select 해올 수 있습니다. if($result['id']) solve("gremlin"); 문제의 최종 목적은 solve()를 동작시키는 것인데, 동작하기 위한 조건은 id가 존재할때입니다. 따라.. 2021. 5. 29. [웹해킹] 1주차 리뷰 웹 해킹(web hacking) 1주차 리뷰 웹 해킹 스터디를 시작하게 되면서, 배운 내용을 리뷰하기 위한 포스트입니다. 다른 분들이 이 글을 볼때는 불확실한 내용이 포함되어있을 수 있으므로 참고용 정도로 생각해주시면 감사하겠습니다. 1. 실습환경 설정하기 앞으로 포스트하게 될 웹해킹 실습은 Ubuntu에서 진행됩니다. 먼저 실습환경은 vmware에서 ubuntu를 설치해서 진행됩니다. https://www.vmware.com/go/getworkstation-win 실습환경인 우분투를 설치하는 과정은 상세하게 다루는 글이 많기때문에 생략하도록 하겠습니다. https://releases.ubuntu.com/20.04/ Ubuntu 20.04.2.0 LTS (Focal Fossa) Select an imag.. 2021. 5. 10. 이전 1 ··· 9 10 11 12 다음
