namdicul's blog

気ままに更新します. CTFと暗号理論について勉強中です.

"Cpaw CTF" Q22.[Web]Baby's SQLi - Stage 1-

困ったな……どうしよう……. 
ぱろっく先生がキャッシュカードをなくしてしまったショックからデータベースに逃げ込んでしまったんだ. 
うーん,君SQL書くのうまそうだね.ちょっと僕もWeb問作らなきゃいけないから,連れ戻すのを任せてもいいかな? 
多分,ぱろっく先生はそこまで深いところまで逃げ込んで居ないと思うんだけども……. 

とりあえず,逃げ込んだ先は以下のURLだよ. 
一応,報酬としてフラグを用意してるからよろしくね! 

https://ctf.spica.bz/baby_sql/ 

Caution 
・sandbox.spica.bzの80,443番ポート以外への攻撃は絶対にしないようにお願いします. 
・あなたが利用しているネットワークへの配慮のためhttpsでの通信を推奨します.

 Answer:

 

SQLについてはまだまだ知識が浅いので勉強しないといけません...

SQL知ってる人なら多分ものの数分で解ける問題でしょうか. 知らない人も, ググれば解けると思います. 

 

入力するSQL文は, palloc_homeというテーブルの内容を全表示するような文であればOKです. 今回, 僕は「SELECT * FROM palloc_home」を入力することでflagをゲットしました.