728x90
문제를 들어가면 LOG INJECTION이라는 문구와 함께
로그인 버튼이 있다.
INJECTION 삽입 문제인 것 같은데, 아직 감이 오지 않아
코드를 먼저 확인해 보았다.
admin.php 파일을 확인해 봐야 한다.
로그뷰를 확인할 수 있다.
admin을 입력해보고 login을 해보니 you are not admin이라는 문구와 함께
로그인이 안되는 것을 확인 할 수 있다.
인젝션을 해보고 나서 로그뷰를 확인해보니 값이 추가되었다.
이 문제를 해결하기 위해서는 CRLF Injection에 대해 알아야한다.
https://www.hahwul.com/cullinan/crlf-injection/
CRLF Injection
🔍 Introduction CRLF Injection은 Carriage Return Line feed Injection의 약자로 각 개행문자를 의미하는 CR(\r) LF(\n)을 이용하여 HTTP Request 또는 Response를 분리하여 공격자가 의도한 동작을 수행시키는 공격 기법
www.hahwul.com
로그뷰에 있었던 ip를 토대로
[내 ip 주소] : admin
값을 입력해보았다.
728x90
'Web > Webhacking' 카테고리의 다른 글
| Webhacking - challenge(old) 23번 (0) | 2021.11.13 |
|---|---|
| Webhacking - challenge(old) 55번 (0) | 2021.11.08 |
| Webhacking - challenge(old) 2번 (0) | 2021.11.08 |
| Webhacking - challenge(old) 27번 (0) | 2021.10.16 |
| Webhacking - challenge(old) 18번 (0) | 2021.10.16 |