simple sqli
-
[2019 DIMI CTF Quals][WebHacking] simple sqliCTF write_up/기타 CTF 2019. 7. 15. 00:21
문제 URL에 들어가보면 다음과 같습니다. 소스를 확인해 보면 다음과 같습니다. 해당 문제는 SQL Injection 문제 이기 때문에 필터링 값을 먼저 확인 해야 합니다. admin or = "공백" # ' _ where 이 필터링 되는 것을 확인 할수 있습니다. 쿼리문을 한번 확인해 보면 다음과 같습니다. SELECT * FROM `users` WHERE `id` = trim('{$id}') AND `pw` = trim('{$pw}') trim()함수는 양쪽끝 공백을 제거하는 함수입니다. 일단 아이디 비밀번호 페이로드를 먼저 작성하고 왜 그렇게 되는지 이야기 해보겠습니다. 아이디 : \ 비밀번호 : )|| id like "ad" "min"-- - (공백을 Tab으로 대체) 일단 저는 필터링이 되어있는..