webhacking.kr 49번 문제(old)
2019. 10. 18. 23:31ㆍWargame/webhacking.kr
49번 문제를 들어가면 위와같은 페이지가 출력된다.
소스를 확인해보자.
lv를 GET 방식으로 입력받고 결과값(ID)을 출력해준다.
이 값이 admin 이면 문제가 풀리는 형식인것 같다.
싱글쿼터와 더블쿼터가 우회되어있으니 id='admin' , id="admin" 과 같은 방식으로는 admin을 만들어주지 못할것 같다.
그래서 16 진수나 char() 함수를 이용해서 admin을 만들어보자.
0x61646d696e -> 16진수로 표현한 admin
char(97,100,109,105,110) -> char() 로 표현한 admin
이 값들을 공백과 or,and 연산자 그리고 =을 피해서 대입해주면 문제가 풀릴것 같다.
?lv=1%0a%26%26%0aid%0alike%0a0x61646d696e
- %0a 로 공백 우회
- like 로 = 우회
-%26 으로 and(&)우회
'Wargame > webhacking.kr' 카테고리의 다른 글
webhacking.kr 32번 문제(old) (0) | 2019.11.08 |
---|---|
webhacking.kr 61번 문제(old) (0) | 2019.10.28 |
webhacking.kr 54번 문제(old) (0) | 2019.10.18 |
webhacking.kr 53번 문제(old) (3) | 2019.10.18 |
webhacking.kr 25번 문제 (old) (0) | 2019.10.16 |