35번 문제에요.
배점은 350점, 분야는 DB에요.
전화번호를 입력하는 칸과 소스보기 버튼이 있네요.
소스보기를 눌러볼게요.
id와 IP 전화번호 를 입력받고,
접속한 IP가 admin 의 IP 라면 문제가 풀리는 구조네요.
id에는 admin 을 필터링하고있으니...
인젝션 포인트는 전화번호 부분이겠네요.
phone 에다가 12345를 넣어보면?
get으로 던져주면서,
DB로 들어가네요.
phone 에다가
insert into chall35(id,ip,phone) values('guest','자신.의.IP.주소',123),('admin','자신.의.IP.주소',123)
가 되도록 집어넣어주면?
빠밤!
문제가 풀렸네요.
'연구글 > webhacking.kr' 카테고리의 다른 글
| webhacking.kr Challenge(old) 37 / Server (0) | 2020.08.24 |
|---|---|
| webhacking.kr Challenge(old) 36 / Server (0) | 2020.08.23 |
| webhacking.kr Challenge(old) 34 / JavaScript (0) | 2020.08.23 |
| webhacking.kr Challenge(old) 33 / PHP (0) | 2020.08.23 |
| webhacking.kr Challenge(old) 32 / Computing (0) | 2020.08.23 |