お次はこちらのサイト

https://webhacking.kr/challenge/bonus-9/

調査

こちらもでっかく LOG INJECTION と書かれている。

ソースコードを見てみると

<html>
<head>
<title>Challenge 38</title>
</head>
<body>
<h1>LOG INJECTION</h1>
<form method=post action=index.php>
<input type=text name=id size=20>
<input type=submit value='Login'>
</form>
<!-- <a href=admin.php>admin page</a> -->
</body>
</html>

admin.phpの存在が仄めかされている。

攻撃

helloとtestをフォームに入力してみる。

-> 何も起きない。

ところが、admin.phpにアクセスすると、異変が確認できる。

https://webhacking.kr/challenge/bonus-9/admin.php

アクセスログが見えてしまうのだ。

そこで、adminと打ち込んでみると...

LOG INJECTION you are not admin

と /お前はadminじゃねーよ/ と怒られてしまう。

...

色々試してみた結果。 inputをtextareaに変更して、複数行入力できるようにすることで対応できることがわかった。

page:https://minegishirei.hatenablog.com/entry/2024/08/14/095749