[webhacking.kr] old-03 3번문제 write up

문제 분석

문제에 접속하면 nonogram이라고 뜨면서 게임판이 뜬다. nonogram에 대해서 찾아보니까

위의 그림으로 예시를들면  3이라고 적혀있으면 그 줄에 3개의 네모가 이어지게 색칠을 하고

(예시)

1 1 1 이렇게 적혀져 있으면 띄워서 세 개를 색칠해야 한다. 

(예시)

이 방식대로 문제를 다 풀면

이런 모양으로 생긴 판이 나온다. 이제 solved를 누르면

이런 화면이 나온다. 주소는 넘어가고 우리 이름을 log에 입력하라고 뜨는데 일단 아무거나 입력해봤다.

그랬더니 이렇게 name과 answer 그리고 ip가 출력되어 있다. 입력창에 sql injection을 시도해보자.

sql injection을 해봤는데 이렇게 딱히 바뀐 건 없는 걸 볼 수 있는데 answer이 그대로인 걸 볼 수 있다. ip는 원래 고정이라

해도 answer은 nam에 따라 바뀔 줄 알았는데 바뀌지 않는데 뭔가 여기에 burp suite를 이용해서 answer의 파라미터의

값을 바꿔서 시도해보자.

밑에 answer 파라미터를 sqli로 바꿔서 전송했다.

그랬더니 아래처럼 풀렸다!