18번 문제에요.
분야는 DB, 배점은 100점이에요.
대놓고 SQL Injection을 하라고 하네요.
소스를 볼게요.
공백문자 / ( ) | & select from 0x 를 못쓴다고 하네요.
친절하게도 admin의 no는 2라고 적혀있는데
id는 guest로 고정되어있군요.
그러면
select id from chall18 where id='guest' and no=0 or id='admin'
no에 저런걸 집어넣으면 admin이 될거같네요!
그런데 공백문자가 금지이니 %0a로 우회해서
get로 0%0aor%0aid='admin'를 집어넣어버리면????
빠밤!
문제가 풀렸네요.
'연구글 > webhacking.kr' 카테고리의 다른 글
webhacking.kr Challenge(old) 20 / Computing (0) | 2020.08.21 |
---|---|
webhacking.kr Challenge(old) 19 / Computing (0) | 2020.08.21 |
webhacking.kr Challenge(old) 17 / JavaScript (0) | 2020.08.21 |
webhacking.kr Challenge(old) 16 / JavaScript (0) | 2020.08.21 |
webhacking.kr Challenge(old) 15 / JavaScript (0) | 2020.08.21 |