webhacking.kr - Challenge(old) - 3번

#1. 3번

1-1. 문제

 

1-2. 풀이

Nonogram이 뭘까 일단 좀 찾아보자.

구글링해보니 숫자에 적힌대로 컴은칸을 채우면 되는 퍼즐 게임이다. 숫자에 적힌대로 퍼즐을 풀어보면 아래와 같이 나온다.

solve를 눌러보면 Clear 했다고 나온다. 

그리고 입력란에 id를 입력하면 name, answer, ip 가 나온다.

뭐야 이게 끝인가? 했는데, 역시나 끝은 아닌 것 같다. 아직도 3번 문제는 미해결로 표시되어 있다.

흐음 어쩌라는걸까?

 

방금 했던 과정을 burp suite로 다시 한번 진행해보자. 참고로 문제 옆에 db 표시가 있는 것으로 봐서 db 관련 문제 즉, sql 인젝션일 것이다.

 

살펴보니, answer에 적혀있던 10101000... 은 퍼즐의 검은색 부분을 1 흰색은 0으로 뜻하는 것이고 HTTP Referer에서도 확인할 수 있다. 이후 answer에 대해 sql 인젝션 구분을 실행하다보면 해결이 된다.

참고.

페이지 소스 보기를 보면 maxlength=10 이다. name 부분에 10글자 이상 적으면 오류가 발생하지 않을까 싶다.

 

 

 

끝