Shikata Ga Nai

Private? There is no such things.

BricksのLogin pagesをやってみた

Hello there, ('ω')ノ

 

OWASP BWAにあるBricksのLogin pagesを。

 

f:id:ThisIsOne:20220416143827p:plain

 

はじめにLogin #1を。

 

f:id:ThisIsOne:20220416143847p:plain

 

SubmitボタンでSQLクエリが表示されるのでやりやすくて。

 

f:id:ThisIsOne:20220416143927p:plain

 

どのようなペイロードを入力すれば、SQLクエリを壊すことができるかを。

 bee' or 1=1-- 

 

f:id:ThisIsOne:20220416144025p:plain

 

Login #2については、少々勝手が違っていて。

スペシャルキャラクタをチェックしているようで。

ここで安易な気持ちでエンコードして挿入してもチェックされてしまったので。

 

f:id:ThisIsOne:20220416144136p:plain

 

スペシャルキャラクタとは何をチェックしているのかをひとつずつチェックして。

 

f:id:ThisIsOne:20220416144318p:plain

 

数値を入力するとチェックされるようで。

 

f:id:ThisIsOne:20220416144540p:plain

 

ペイロードを変更してみると別のエラーメッセージが。

 bee' or 'a'='a'-- 

 

f:id:ThisIsOne:20220416145409p:plain

 

入力文字数をチェックしているようなので。

Burp Suiteのインターセプトをオンにして。

下記を入力すると。

 bee'%20or%20'a'='a'--%20

 

f:id:ThisIsOne:20220416145724p:plain

 

これでクリアできて。

 

f:id:ThisIsOne:20220416145550p:plain

 

Best regards, (^^ゞ