회사 업무 때문에 CCE 웹 문제를 풀게 되었다.
처음 문제 풀이 의도와 다르게 다른 취약점으로 접근하여 시간을 많이 날렸었다ㅠ
RealWorld
파일다운로드 파라미터 idx에 Blind sql injection이 가능하여 웹쉘 업로드 후 업로드 경로를 찾아 웹쉘을 실행시켜 플래그를 찾으면 되는 문제였었다.
Classic
회원가입 후 로그인을 하면 NAME 파라미터에 해당되는 데이터를 출력시켜준다.
GENDER 부분에 Insert sql injection이 가능하였으며 , 소문자키워드 + 공백을 우회시켜 해당 테이블 내 플래그를 뽑아주면 되는 문제였었다.
시간이 지날수록 집중력이 많이 떨어져서 문제에 집중을 못했었던것 같다.
한문제는 더 풀었을수도 있었을것같은데 아쉬움이 많이 남았으며,
코딩 변수 이름 선언 및 소스코드 분석 , 깔끔한 프로그래밍을 하기위해 연습을 많이 해야할 것 같다.
이번 계기로 부족한점을 많이 느꼇으며 다른분들처럼 잘하려면 더 열심히 공부를 해야겠다는 생각이 드는 기회였다.
'Web security' 카테고리의 다른 글
| Cross-Site Search(XS-Search) Attacks (0) | 2019.10.05 |
|---|---|
| Blind SQL injection 정리 (0) | 2019.10.01 |
| 정리 및 해야할것. (0) | 2019.09.25 |
| Webhacking.kr(old) - 50번 ~ 61번 (0) | 2019.09.21 |
| Websec - Medium (0) | 2019.09.19 |