46번 문제에요.
배점은 300점, 분야는 DB에요.
이번에도 SQL Injection 을 하래요.
그대로 버튼을 눌러보면?
Itusy information
money : 1100
이래요.
소스보기를 눌러볼게요.
공백문자 / * %
를 전부 지워버리고
select 0x limit cash
를 필터링하네요.
거기에 addslashes() 까지 있네요.
띄워쓰기를 할수 없으니 || 를 써서 붙여써도 작동하게 해주고
0x 와 ' 둘다 막혀있으니 2진수로 우회해서
select id,cash from chall46 where lv=0||id=0b0110000101100100011011010110100101101110
가 되도록 해주면?
빠밤!
문제가 풀렸네요.
'연구글 > webhacking.kr' 카테고리의 다른 글
| webhacking.kr Challenge(old) 48 / Command (0) | 2020.08.24 |
|---|---|
| webhacking.kr Challenge(old) 47 / Command (0) | 2020.08.24 |
| webhacking.kr Challenge(old) 45 / DB (0) | 2020.08.24 |
| webhacking.kr Challenge(old) 44 / Command (0) | 2020.08.24 |
| webhacking.kr Challenge(old) 43 / Server (0) | 2020.08.24 |