[Web Hacking] SuNiNaTas Challenge 2번 (Level2)

써니타나스 레벨2

 

그림 (2) SQL Injection

 

 

2번 문제이다. 보자마자 바로 sql injection을 넣었다. 당연히 실패했다.

 

그림 (3) Burp Suite

 

Burp Suite를 사용하여 정보를 봤더니 스크립트 끝난 후 주석으로 Hint가 있었고 Join을 ID/PW에 넣었다.

 

그림(4) join 입력

 

위에 스크립트 언어에는 ID와 PW가 같으면 alert라고 경고창이 뜬다고 코드가 작성되어 있다.

join / join으로 입력 했더니 You can`t join! Try again이라고 출력됐다.

 

 

그림 (5) LEVEL2

 

그림(6) 프록시 이용하여 ID / PW 변경

 

아이디와 패스워드를 아무렇게 적은 뒤 Burp Suite이용하여 id와 pw 값을 join / join으로 변경하면 끝이다.

 

그림(7) 해결

 

 

이 문제는 딱히 코드를 해석한다거나 그런 건 필요없는 문제 같다.

웹 페이지가 GET으로 넘어가는 걸 중간에 가로채서 해킹하는 그런? 문제라고 볼 수있다.