GEEKy Script Writer [perl and more!]
You should permit the JavaScript!!
スポンサーサイト
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
【負け犬の】Netfireのhackmeについて一言書いておくか。【遠吠え】
Lv1はまあいいとして、Lv2で躓く人も多かろう。
要するに、SQLインジェクション風味だが、明らかにSQLに接続してないのがわかる。
というのも、まずID側に'とか入れても全力でスルーされる。なのにPWD側に'を入れるとPHPのエラーっぽいのが出る。
っていうか、syntaxエラーがなぜPHPのエラーとして出るんだ。エラー出るとしてもSQL側か、PHP側としてもその後の文字列処理とかでのはず。これ作ったやつは頭弱い。
「Lv1はまーあほみたいに簡単にしてやったけど、Lv2でいきなりSQLインジェクションにしてやろう、ブヒヒヒヒ。でも実際にSQL通すの怖いからそれっぽいエラーメッセージだしときゃだまされるだろwwwww」という心の声が聞こえてこないか?
っていうか、PHPのエラーメッセージはわざわざエンコードなんざしねえんだよ!なにXSSの心配しちゃってんの!

で、ここまでで「なんらかの比較処理をしておkだったらLv2クリア判定だが、SQLエミュ作ってとかってわけではない」ことがわかるはず。
つまり、比較処理に合致しなけりゃ実際にSQLインジェクションとして通用するやつでもダメ判定になっちゃうのね。だからLv2でSQLインジェクションって気づいた人は、それだけで合格オメデトウ。以上、遠吠え終了!!

解けたら解けたで報告しますよ・・・。

テーマ:Webサービス - ジャンル:コンピュータ

コメント
この記事へのコメント
コメントを投稿する
URL:
Comment:
Pass:
秘密: 管理者にだけ表示を許可する
 
トラックバック
この記事のトラックバックURL
この記事へのトラックバック
copyright © 2005 GEEKy Script Writer [perl and more!] all rights reserved.
Powered by FC2ブログ.
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。