admin을 입력하니 you are not admin 이라 한다.
admin.php에 접속해보니 밑에는 내 PC에서 순서대로 입력했던 값이 나와있는 것을 확인했고, 위쪽에 183.98.10.141로 접속한 PC의 명령어가 그대로 나와있다. admin으로 접속하기 위한 시도인 듯 하다.
이 페이지에서 기록하는 Log는 IP:입력값 형태인 듯 싶다. IP:admin이면 풀리는 문제인 것 같은데 admin을 입력했을 때는 여기에 기록은 안되고 페이지에 단지 you are not admin이라는 문자열만 띄운다.
그리고 보통 개행문자를 이용해 Log Injection을 한다고 하는데 앞의 시도를 보면 이 문제에선 왜인지 그게 안통하는 듯 하다.
그러다가 아예 입력을 여러 줄로 할 수 있다면? 이라는 생각이 들어 페이지 코드를 직접 수정하였다.
text 타입 대신에 여러 줄을 쓸 수 있는 textarea를 넣어 html 코드를 수정한 후 Log Injection을 시도하였다.
'WEB > WEB Hacking' 카테고리의 다른 글
| wfuzz (0) | 2021.07.10 |
|---|---|
| [Webhacking.kr] Challenge(old) 39번 풀이 (0) | 2021.06.07 |
| [Webhacking.kr] Challenge(old) 36번 풀이 (0) | 2021.06.03 |
| [Webhacking.kr] Challenge(old) 33번 풀이 (0) | 2021.06.02 |
| [Webhacking.kr] Challenge(old) 27번 풀이 (0) | 2021.05.30 |