• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

CTF Проблемы с логином - райтап

photo_2023-04-09_10-39-58.jpg


Задание по ссылке. Наверное уже многие поняли что вся соль в SQL Injection

Из подсказки узнаём что логин admin

Пароль мы не знаем, да и знать не нужно, ведь есть оператор OR(ИЛИ) в SQLite

В поле пароля пишем следующее
admin" or "1"="1"-- -

Таким образом мы говорим что, либо пароль верный и мы проходим, или верно 2 условие и мы проходим, так как 2 условие верно, соответсвенно мы проходим и получаем флаг!

Радуемся добытому флагу!
Видео на YouTube:
 
  • Нравится
Реакции: GoBL1n

D3L1F3R

Red Team
20.02.2022
337
116
BIT
567
Я сначала использовал ординарные ковычки ('), что было ошибкой, так что будте внимательны!
 
  • Нравится
Реакции: xuZ00

xuZ00

One Level
01.07.2023
7
6
BIT
70
Хороший райтап!
А как понять, что это был именно обфусцированный код? Просто для меня, как человек впервые с этим встретившийся, этот файл был просто набором скобок, который я могу написать где угодно и он будет работать. Есть какие-то элементы на которые стоит обращать внимание, когда с подобным сталкиваешься?
 
  • Нравится
Реакции: Нестор Махно

D3L1F3R

Red Team
20.02.2022
337
116
BIT
567
Хороший райтап!
А как понять, что это был именно обфусцированный код? Просто для меня, как человек впервые с этим встретившийся, этот файл был просто набором скобок, который я могу написать где угодно и он будет работать. Есть какие-то элементы на которые стоит обращать внимание, когда с подобным сталкиваешься?
Понять можно, просто потому что он так выглядит. Если куча скобок, полюбому обфускация.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!