300점 46번 문제이다..
싫어하는 SQL Injection문제가 또나왔다 ㅋㅋㅋ
1이 기본으로 들어가있고 제출을 누르면
zzibong의 information을 출력한다.
level2,3,4,0...을 입력 해봐도 다른 정보는 출력하지 않는다.
이런 문제는 주로 소스를 제공해 주므로 소스를 확인해 보았다.
GET방식으로 level을 가져오고, 가져온 값을 검사한다.
공백과 /,*,%는 모두 없애버리고,
union,select,from 등등이 포함되어잇으면 exit()!
공백은 %0a로 우회
char()을 이용해서 admin을 만들어준다.
char(97,100,109,105,110) =admin
생각보다 어렵지 않게 풀수 있었다. 46번 문제도 클리어!
'Game > webhacking.kr' 카테고리의 다른 글
| [350] prob3 (0) | 2015.06.01 |
|---|---|
| [300] prob49 (0) | 2015.05.31 |
| [250] prob56 (0) | 2015.05.29 |
| [300] prob5 (0) | 2015.05.29 |
| [250] prob43 (0) | 2015.05.26 |
