-
[Lord of SQL_injection] #15 assassin$ 웹 해킹 $/los.rubiya.kr 2019. 4. 5. 19:18
벌써.. 3번째줄 마지막 문제 입니다!!
조금만더 화이팅 하시면 All Clear를 할수 있습니다.
문제를 보면 다음과 같습니다.
like로 되어있는 것을 보니 %나 _를 이용하면 우회를 할수 있습니다.
또한 싱글쿼터인 ' 가 필터링 되기 때문에 id에 값을 넣을수가 없습니다.
그렇다는 것은 pw 필드만을 보고 비교해야 합니다.
아래에서 2번째 문장을 보면 id의 값이 admin이 되어야하는것으로 보아 입력한 pw의 값이 admin의 pw면 clear! 되는것 같습니다.
?pw=1% 2% 3% 이와같이 입력을 해보면..
Hello guest가 뜬것으로보아 admin과 guest에 같은 pw가 있나 봅니다.
?pw=902%
'$ 웹 해킹 $ > los.rubiya.kr' 카테고리의 다른 글
[Lord of SQL_injection] #17 succubus (0) 2019.04.05 [Lord of SQL_injection] #16 zombie_assassin (0) 2019.04.05 [Lord of SQL_injection] #14 giant (0) 2019.04.05 [Lord of SQL_injection] #13 bugbear (0) 2019.04.05 [Lord of SQL_injection] #12 darkknight (0) 2019.04.05