LEVEL 2

login-1

web
3732
1135
로그인 하고 문제 풀기
  • 문제 정보
  • 풀이 108
  • 난이도 투표 60
  • 질문 7
  • 최근 풀이자 1135
  • 댓글 106

문제 설명

python으로 작성된 로그인 기능을 가진 서비스입니다.

"admin" 권한을 가진 사용자로 로그인하여 플래그를 획득하세요.

Reference

Server-side Basic

출제자 정보

avatar
Dreamhack
대표 업적 없음
2020.05.11. 00:00:00

First Blood!

qerogram
워게임: 50
출제된 지 17시간 만에 풀이 완료!

난이도 투표 60

질문 7

문제 풀이에 어려움이 있으신가요?
커뮤니티에서 문제에 대한 질문하고 답변 얻기
sql injection
sql injection 활용해서 푸는거 맞나요?? injection문이 적용 안 되는거 같아서 여쭤봅니다 ㅠㅠ
뀨닝
답변 1
추천 0
4년 전
500 에러 왜 발생하는 걸까요?
500 에러가 발생해서 문제의 의도 외의 방법으로 푸는 것이 가능합니다. 근데 이게 왜 에러가 터지는 지 소스코드를 봐도 잘 모르겠네요... 107번 또는 116번 줄 밑에서 터지는 것 같은데 idx >= 10인 일부 유저만 500에러가 터지는 경우의 수가 있나 싶습니다. 테이블을 생성할때 컬럼의 데이터 타입을 정의할테니 일부 유저의 idx 또는 user['resetCount'] 값이 int 가 아니라 {(MAXRESETCOUNT-1)-user['resetCount']} 이런 데서 타입 에러로 터지는 것도 불가능할 것 같습니다. 500 에러가 터지는 이유를 아시는 분이 계실까요?
avatar limelee
답변 1
추천 0
7개월 전
Internal Server Error
Register 한 ID 에 대해서 리퀘스트를 보낼때만 Internal Server Error 가 뜹니다... 다른 아이디는 User Not Found 가 잘 나오구요 제가 리퀘스트를 잘못 보내서 그런건가요..? 혹은 서버 자체에 문제가 있는걸까요?
vared
답변 2
추천 0
4년 전
Internal Server Error가 날때가 있고 안 날때가 있는데..
Internal Server Error가 날때가 있고 안 날때가 있는데.. forgot_password 페이지에서 같은 형식으로 요청을 보내도 어느 순간부터 Internal Server Error가 뜨는데, 이게 원래 그런건가요? 아니면 서버상의 문제인가요?
초보초보자
답변 1
추천 0
4년 전
login-1 로그인 성공했는데
lemon 으로 취약점 찾아서 비밀번호 바꾸고 로그인까지했는데 /admin 으로 들어가도 Only Admin 으로만 뜨는데 오륜가요 아니면 뭐가 더 있는건가요
avatar redticket
답변 2
추천 0
3년 전
potato
potato라는 UserLevel이 admin인 계정으로 로그인 했는데, 어드민 페이지가 안 들어가집니다. 에러인가요? peach나 다른 걸로도 해 보았지만, admin 페이지가 안 들어가집니다. 똑같이 userlevel이 admin인데 왜 접속하지 못하는 걸까요?
탈퇴한 이용자
답변 1
추천 0
4년 전
login-1 문제 힌트 좀 요청드립니다.
login-1 문제에서 관리자 권한을 가진 계정을 찾는 것은 시도했는데 이후에 sql injection을 통해 로그인 시도를 해봤는데 좀처럼 되지 않네요 sql injection으로 문제를 해결하는 것은 맞는지 아니면 혹시 다른 기법을 써서 해당 문제를 해결하는 것인지 궁금합니다.
Jako
답변 2
추천 0
5년 전

최근 풀이자 1135

0one
대표 업적 없음
9시간 전
마두팔
워게임: 1
2일 전
avatar
둔산아리장인
대표 업적 없음
4일 전
김민수1
웹해킹 입문
8일 전
인절미콩떡
대표 업적 없음
13일 전
marim00
대표 업적 없음
13일 전
avatar
pandas
시스템 해킹 중급자
13일 전
긘수
대표 업적 없음
13일 전
Seebusch
대표 업적 없음
15일 전
미래 해커
대표 업적 없음
17일 전

댓글 106

avatar
Rootsquare
해결사
1개월 전
웹 서버는 여러 작업을 처리합니다. 하지만 한 번에 대량의 트래픽이 몰리면??
avatar
hy30nq
고목
9개월 전
race c
avatar
DA2RIM
리버싱 졸업
9개월 전
와 재밌다
avatar
One_
웹해킹 입문
1년 전
레벨6하고 이거하니까 진짜 편-안
avatar
oolongeya
Cloud 9
2년 전
새로운 지식을 배워갑니다
avatar
poppo25
휴머노이드
2년 전
이거 왜 안되지? 하면 생각지도 못한 게 두둥.. 또 안돼서 왜 안되지? 하면 또 생각치도 못한게 두둥,...
avatar
Train guy
워게임 고인물
3년 전
레이스 컨디션 + 브루트 포싱
avatar
Beluga
워게임: 20
3년 전
이야.....자만하다 uwu될 뻔했네요..
Photojuice
공부벌레
3년 전
방향성 : 문제 코드를 본다, 구분을 한다, 로그인 시 인증여부를 체크한다, 우회를 방지하는게 뭐가 있는지 확인한다, 프록시 또는 수동으로 로그인 계정 외에 권한을 가진 계정이 뭐가 있는지 체크 한다, 분류를 하면 일단 우회 방지를 대비하는 코드를 다시 살펴본다, 어떻게 우회할지 고민해본다. 코드를 좀더 자세히 봐본다. 우리가 흔히 패스워드 많이 틀릴시 잠기는 횟수정도를 비교해본다. 방향성을 잡아본다. 그러면 특정 초 안에 뭔가를 해야지만 가능하다는 코드가 눈에 보일 수 있다. 그러면 이제 파이선을 킨다 간단한 구문을 구글링 또는 짜본다. 대입해본다. 그리고 다시 접근해본다. 삽질 시간이다. 그러면 어느순간 길이 열릴것이다.
avatar
lucky
Lucky 7
3년 전
bbb