[Webhacking.kr] old-03 / Challenge 3

노노그램이라는 게임이 화면에 뜬다. 노노그램은 숫자에 맞게 색칠하는 퍼즐 게임인데 숫자가 여러 개면 사이에 공백이 한 칸 이상 있다는 뜻이다. 칸을 클릭해보니 색칠이 되었다.

 

폰으로 노노그램하던 짬바를 발휘해 풀어보았다. 5x5라 금방 풀 수 있었다.

 

성공하면 다음과 같은 인풋창이 나타난다.

아무거나 입력하고 submit을 누르니 name과 answer, ip가 차례대로 나타났다.

 

admin을 입력해봤다. answer가 바뀔 줄 알았는데 바뀌지 않았다.

디코딩해봐도 특정한 값은 안나왔다.

 

name에 sql injection을 시도해보았다. 넣은 값이 그대로 보여진다.

 

answer에도 sql injection을 시도해보자.

answer에 ' or 1=1--을 넣고 제출하면 query error!가 뜬다. 

여러가지 방식으로 answer에 sql injection을 시도해보았다. 

' or '1'='1

' or 1=1 #

 

문제를 해결할 수 있었다!