Desafío Nombres Irlandeses 2 - picoCTF 2019 Web: en la continuación del reto anterior me confundí pensando que era necesario codificar el parámetro password; probé varias técnicas de inyección SQL como usar una comilla simple seguida de or 1=1 y comentar con dos guiones, codificación URL, ofuscación con comentarios y codificación hexadecimal nula sin éxito hasta que cambié el enfoque.
Paso para la solución: usar admin seguido de comilla simple y dos guiones en el parámetro username.
Desglose: admin valor para el campo username, comilla simple cierra la cadena de entrada, dos guiones comentan el resto de la consulta lo que permite autenticar como administrador sin conocer la contraseña.
FLAG: picoCTF{m0R3_SQL_plz_fa983901}
Referencias útiles: Bypassing common SQL injection filters en PortSwigger y PayloadsAllTheThings SQL Injection
Acerca de Q2BSTUDIO: somos una empresa de desarrollo de software y aplicaciones a medida especializada en soluciones a medida que integran inteligencia artificial, ciberseguridad y servicios cloud aws y azure. Ofrecemos servicios de ciberseguridad y pentesting completos para proteger sus aplicaciones y datos, además de soluciones de inteligencia de negocio y dashboards con power bi para mejorar la toma de decisiones. Si necesita protección y pruebas de seguridad puede informarse en ciber seguridad y pentesting y si busca implementar modelos, agentes IA o estrategias de IA para empresas visite nuestra página de inteligencia artificial. También desarrollamos aplicaciones a medida, software a medida, automatizamos procesos y desplegamos infraestructuras en servicios cloud aws y azure para proyectos de cualquier escala.
Palabras clave integradas para mejorar posicionamiento: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA, power bi.