티스토리 뷰
38번 문제 : Log injection
의외로 간단하다.
C언어를 조금만 해봤다면 금방 풀 줄 아는 문제?!
로그 인젝션이란 로그를 조작하는 것(?) 이다.
자세한 것은 http://hides.tistory.com/46 참조하길 바란다.
처음에 admin 이라는 문자를 입력하여 보았다.
하지만 fail
음 생각을 바꾸어 다른 문자를 넣어보니 입력이 되는 것을 확인 하였다.
로그를 보아하니
아이피:(입력한 내용)
이었다.
C언어에서 엔터 기능이 무엇인지 생각한 뒤에 \n을 떠올려서
\nadmin 쿼리를 날려보니
밑줄로 들어가는 것을 알 수 있었다! ( 보안상 IP는 지움 )
그렇다면 !
Log를 조작할수 있는 방법은!
aslkdjfalskdjalksdjvalskdv(아무값이나 한 후)\n(자신의 IP):admin
하면
개행에 자신의 아이피와 admin이 입력되어 로그가 남게되어 클리어를 한다!