webhacking.kr 7번 [300p]

 

Auth를 눌러보면

이라고 나옵니다. 소스코드를 한번 확인해 보겠습니다.

주석으로 admin mode : val=2 라고 적혀 있어서 URL을 변경해 보았습니다.

 

접근이 불가능 합니다.

 

그래서 아래의 index.phps에 들어가 봤습니다.

코드를 보면 rand함수에 의해서 값이 하나 결정 되고 val=2가 존재하지 않기 때문에 union을 이용해야 합니다.

 

union은 sql 문법으로 A union select B형식으로 사용합니다.

 

여기서는 A에 해당되는 부분을 거짓으로 만든 다음 B부분을 참으로 만들어서 admin권한을 얻는 형식으로 문제를 풀이할 것 입니다.

 

또한 $data[0]이 2가 되어야 문제가 해결되기 때문에 2라는 값이 필요합니다. 하지만 2는 필터링에서 걸리게 됩니다.

 

저는 val=-1 union select 2 형식을 넣어야 하는데

2와 공백은 필터링에 걸리기 때문에 그에 알맞게 바꿔줘야 합니다.

 

소스 코드에서 처럼 rand함수의 값인 1~5까지의 값은 괄호의 개수로 구별합니다.

1 ($go) | 2 (($go)) | 3 ((($go))) | 4 (((($go)))) | 5 ((((($go)))))

 

그래서 URL에 넣어야 하는 값은

val=-1)%0aunion%0aselect%0a5-3 입니다.

 

하지만 서버가.. 이상해서 결과를 볼 수가 없습니다..