-
webhacking.kr 8번 [350p]$ 웹 해킹 $/webhacking.kr 2019. 4. 9. 23:52
소스코드를 확인해 보겠습니다.
↓ index.phps
아래쪽 sql 부분을 보면 insert 문이 있습니다.
소스코드를 보면
user_agent값을 불러와서 .와/를 _로 치환한 후에 pat에 들어있는 문자를 필터링한다.
그 값이 admin이면 클리어 해줍니다.
만약 그 값이 없다면 user_agent값과 ip값 그리고 guest로 새로 lv0에 집어넣는다.
$agent값을 sql injection 해서 admin값을 넣어주면 될 것 같습니다.
User-Agent가 있습니다.
이처럼 hi','1','admin'),('bi 를 입력해서 hi라는 이름으로 admin을 넣어줍니다.
그리고나서 hi를 입력해서 넘겨주면 완료가 됩니다.
'$ 웹 해킹 $ > webhacking.kr' 카테고리의 다른 글
webhacking.kr 10번 [250p] (0) 2019.04.09 webhacking.kr 9번 [900p] (0) 2019.04.09 webhacking.kr 7번 [300p] (0) 2019.04.09 webhacking.kr 6번 [100p] (0) 2019.04.09 webhacking.kr 5번 [300p] (0) 2019.04.09