[HackCTF] Input Check 풀이 (150p)

문제 종류 - Web

사용한 툴 - 

 

풀이

flag를 입력해보자.

 

... 자기들이 입력하라고 했으면서.. 그냥 flag는 필터링이 되는 듯하다.

저번 문제와 마찬가지로 flflagag를 입력해봤는데.. 똑같이 실행이 안된다.

아마 string에 flag란 문자열이 있으면 그냥 오답처리 하는 거 같다.

 

이제 대충 정보를 얻었으니, Query문을 조작해보겠다.

?text=flag가 아닌 ?text[]=flag를 입력해보자.

 

여기서 왜 text가 아닌 text[]을 사용하는지는 직접 찾아보길 바란다.

간단히 말하자면 어떤 함수의 취약점을 이용한 Injection 방식이다.