티스토리 뷰

38번 문제 : Log injection


의외로 간단하다.
C언어를 조금만 해봤다면 금방 풀 줄 아는 문제?!
로그 인젝션이란 로그를 조작하는 것(?) 이다.

자세한 것은 http://hides.tistory.com/46 참조하길 바란다.

처음에 admin 이라는 문자를 입력하여 보았다.


하지만 fail



음 생각을 바꾸어 다른 문자를 넣어보니 입력이 되는 것을 확인 하였다.



로그를 보아하니

아이피:(입력한 내용)
이었다.


C언어에서 엔터 기능이 무엇인지 생각한 뒤에 \n을 떠올려서

\nadmin 쿼리를 날려보니

 

 

밑줄로 들어가는 것을 알 수 있었다! ( 보안상 IP는 지움 )

그렇다면 !

Log를 조작할수 있는 방법은!

aslkdjfalskdjalksdjvalskdv(아무값이나 한 후)\n(자신의 IP):admin

하면 


개행에 자신의 아이피와 admin이 입력되어 로그가 남게되어 클리어를 한다!