문
(Lord of SQLInjection) cthulhu 문제
(Lord of SQLInjection) cthulhu 문제입니다. 코드를 먼저 살펴보면 필터링으로 prob _ . \ admin 을 필터링 하고 있습니다. 거기에 특별하게 보이는 코드가 보이지 않습니다. 위에 rubiya서버는 ModSecurity Core Rule Set v3.1.0의 level 1을 사용중이라는 이부분이 문제를 해결하기 위해 중요한 부분으로 보여 정확하게 이게 무엇인지 찾아보니 웹 애플리케이션 방화벽중 하나로 SQL인젝션과 LFI RFI등등 OWASP Top 10을 포함한 공격을 보호하는 방화벽이라고 합니다. 이를 우회하기 위해 CRS v3.1.0 Bypass를 키워드로 검색해보니 우회하는 방법이 정리된 자료를 찾을 수 있었습니다. { }나 @같은 기호를 이용해 우회하는 방법을 찾았..