sqlmap
-
[Moderate] Micro-CMS v2Wargame/Hacker101 CTF 2019. 6. 21. 01:49
Micro-CMS v1이랑 비슷하다. Micro-CMS Changelog에 접근해보았다. 'Version2는 v1의 버그를 수정한 버전이고, 사용자 인증을 추가했다. 페이지를 추가/수정을 위해서는 admin이어야 한다.' 라는 설명이 적혀있다. Edit this page를 눌러보니,, login 페이지로 이동한다. Username = admin 을 입력해보니, Unknown user가 출력된다. SQL Injection을 시도해보자. Error가 발생한다. 이를 보니 Injection Point는 Username이다. 마지막에 주석을 안해줘서 '의 갯수가 맞지 않아 에러가 발생하였다. '의 갯수가 맞도록 아래와 같은 구문을 이용하여 True가 되도록 하였다. (그냥 ' or true# 로 해도 된다.) ..