관리자 계정으로 로그인하는 문제 입니다. 특별한 조건이 붙여있지 않는걸로 봐서 SQL 인젝션을 이용하면 될것같네요.
아까 administration 페이지에서 회원목록을 볼 수 있었습니다. 가입 순으로 정렬이 되는것 같고, 제일 처음 가입된 계정인 admin 이라는 이메일이 아마도 어드민 계정인것 같네요.
패스워드 쪽에서는 SQL 인젝션이 방어 되어있는것 같고, 이메일 쪽에서 아까 오류를 핸들링 해주지 못하는 모습이 보였으므로 이메일쪽에서 시도해 줍니다. 어드민 계정을 입력하고, 싱글쿼터로 닫아준후, -- (주석) 을 입력해서 뒤의 패스워드 필드를 모두 주석처리 해줍니다.
정상적으로 SQL Injection이 성공한 모습을 볼 수 있습니다.
'Wargame | CTF > WebHacking' 카테고리의 다른 글
| Juice Shop - Login Bender(★★★) 풀이 (0) | 2019.02.19 |
|---|---|
| Juice Shop - Forged Feedback(★★★) 풀이 (0) | 2019.02.19 |
| Juice Shop - Five-Star Feedback (★★) 풀이 (0) | 2019.02.19 |
| Juice Shop - Basket Access Tier 1(★★) 풀이 (0) | 2019.02.19 |
| Juice Shop - Zero Stars(★) 풀이 (0) | 2019.02.19 |