It's that time of year again! Another movie is coming out, and I really want to get some insider information. I heard that you leaked the last movie poster, and I was wondering if you could do it again for me?
denylist.json
http://web.bcactf.com:49153/
Hint 1 of 2
What steps are they taking to prevent an injection?
Hint 2 of 2
Check the denylist maybe?
Movie-Login-1をチームメンバが解いていたためよくわからないがアクセスするとログインフォームのようだ。
Higher-Tech Login Page
site.png
テンプレのSQLインジェクションクエリ' OR 't' = 't' --を入力するとError. SQL Injection detected. Are you breaking in? と怒られた。
どうやら配布されたjsonがブラックリストとなっているSQLインジェクション問のようだ。
denylist.jsonは以下のようであった。
[
"1",
"0",
"/",
"="
]=が引っかかっているようなので' OR true --とすればよい。
flag.png
ログインに成功し、flagが得られた。
