-
[Webhacking.kr] 49번 풀이Wargame/webhacking.kr (old) 2019. 5. 8. 21:06
46번 문제처럼 level이 1로 초기화되어 있다.
제출해보니 get 방식으로 lv 값이 전송된다.
zzibong이 페이지에 출력된다. lv의 값을 변경해보자.
역시나 46번과 마찬가지로 level의 값은 1이외에는 없는것 같다.
소스를 보자.
lv 값에서 몇몇 문자열을 필터링하고 있으며, id 값이 admin이면 문제가 풀린다.
or이 필터링되어 있기때문에 ||가 동작하는지 알아보았다.
or 대신 ||를 사용하면 된다.
여전히 '는 막혀있기 때문에 2진수, 16진수, char함수를 이용할 수 있다.
이 문제는 ,가 필터링되어 있기때문에 2진수, 16진수를 사용해야한다.
1. 2진수 (admin : 0b0110000101100100011011010110100101101110)
2. 16진수 (admin : 0x61646d696e)
간단한 SQL Injection 문제이다.
'Wargame > webhacking.kr (old)' 카테고리의 다른 글
[Webhacking.kr] 52번 풀이 (0) 2019.05.08 [Webhacking.kr] 51번 풀이 (0) 2019.05.08 [Webhacking.kr] 48번 풀이 (0) 2019.05.08 [Webhacking.kr] 47번 풀이 (0) 2019.05.08 [Webhacking.kr] 46번 풀이 (0) 2019.05.08 댓글
