webhacking.kr 46번 문제(old)
2019. 11. 22. 16:55ㆍWargame/webhacking.kr
이번 문제또한 SQL Injection 문제인데 id 가 admin 이면 풀리는것 같다.
필터링 부분을 보면 공백 / * % 0x select limit cash 등이 필터링 되어있다.
lv 를 GET 방식으로 받기때문에
url 주소창에서 lv 값을 넣어 SQL Injection 을 진행해보자
이제 admin 이란 값이 들어가지 않기 때문에 char() 함수로 대체해서 admin 을 만들어 주었다.
여기서 %26 은 &인데 이 값은 url encode 한 값으로 기본적인 SQL Injection 이라고 볼 수 있다.
'Wargame > webhacking.kr' 카테고리의 다른 글
| webhacking.kr 45번 문제(old) (0) | 2019.11.22 |
|---|---|
| webhacking.kr(old) 44번 문제 (2) | 2019.11.18 |
| webhacking.kr 43번 문제(old) (0) | 2019.11.09 |
| webhacking.kr 42번 문제(old) (0) | 2019.11.08 |
| webhacking.kr 39번 문제(old) (0) | 2019.11.08 |