어딘가 이상한 로그인 서비스입니다.
SQL INJECTION 취약점을 통해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다.
chatGPT와 함께 풀어보세요!
서버 들어가보면 로그인 페이지 구현되어있음
userlevel을 admin으로 시도해봤을 때 wrong이라는 메세지 출력됨
문제 파일에는 다음과 같은 app.py 파일이 들어있음
if userid == 'admin' and userlevel == 0:
return f'hello {userid} flag is {FLAG}'
이 부분을 봤을 때, admin과 userlevel 모두를 입력해야 flag를 반환 가능
res = query_db(f"select * from users where userlevel='{userlevel}'")
이 부분 참고하면 '0' and userid = 'admin' 입력하면 풀릴듯
(겉 부분 따옴표 빼고 해야 성공하네요..)
'swuforce 심화팀 > 워게임 스터디' 카테고리의 다른 글
| [rev] Secure Mail (0) | 2026.03.31 |
|---|---|
| [드림핵] Happy New Year! (0) | 2026.01.27 |
| DOM-based XSS 실습 (0) | 2025.11.18 |
| [드림핵] Click me! (0) | 2025.11.18 |
| DevTools 주요 기능 정리와 Console 패널 실습 (0) | 2025.11.11 |