はまやんはまやんはまやん

hamayanhamayan's blog

Simple_SQL [DarkCTF]

Security

競プロのコード例について補足 競技プログラミング練習問題集 Twitter 競技セキュリティまとめのまとめ

Simple_SQL
Mr.Ghost
Try to find username and password
http://simplesql.darkarmy.xyz/

調査

ソースコードを見ると、以下のようにある。
<!-- Try id as parameter -->

前問が意識されているので同じペイロードを試す /?id=1
-> Username : LOL Password : Try ok

?id=0 -> Try to fix your error in sql syntex
エラーが出るようになっている。

/?id=9を入れてみる -> darkCTF{it_is_very_easy_to_find}
まさかこれがフラグじゃないよなと思って提出すると通る。
あれっ?