RACTF Admin Attack (SQL INJECTION)

문제 설명 : Looks like we managed to get a list of users. That admin user looks particularly interesting, but we don’t have their password. Try and attack the login form and see if you can get anything. 문제 풀이 문제 사이트로 접속하면 로그인 창이 보인다. ‘ or ’1’=’1 공격 코드로 SQL INJECTION 공격을 해보았다. 그 결과 “xxslayer420”이라는 계정으로 로그인 되었다. 문제에서 admin으로 로그인 하라고 하였으니 SQL INJECTION 공격으로 admin으로 로그인 해야 한다. SQLMAP으로 현재 DB에 어떤 데이터가 있는지 확인해 보았다. SQLMAP으로 확인결과 총 8개의 계정이 있고 jimmyTehAdmin 계정이 관리자 권한을 가진 계정이다. 하지만 sha256으로 암호화 되어있어 패스워드를 ...

원문링크 : RACTF Admin Attack (SQL INJECTION)

등록된 다른 글

RACTF Admin Attack (SQL INJECTION)

등록된 다른 글

CORS Exploit Code

SQL 인젝션 구문 종류

TJCTF XXExternalXX (XXE)

CORS 중요정보 탈취(Node.JS)

command injection test code

PostMessage XSS payload

netcat (su 명령어 사용)

RACTF Insert witty name

키자드 로그인

키자드

네이버 블로그

티스토리

커뮤니티