webhacking.kr 35번

Wargame/webhacking.kr 2018. 1. 15. 01:17

webhacking.kr 35번 문제다. 

점수는 350point.

전화번호 입력창이 있고 소스가 있다.

소스를 확인해보니 일단 필터링이 되고있다. 쿼리문 파괴하는것 자체는 별로 어렵지 않아보인다. admin 사용자에 내 ip값만 id,ip값에 넣어주면 될 것 같다.

대충 123),('admin','x2x.xxx.xxx.xxx',1234 와 같이 insert sql injection 해주면 될 것 같다.

에러가 뜬다. 흠...뭐지... 코드상으론 문제가 없다. 아마도 php magic quote 기능때매 '가 자동으로 필터링 되고 있는 것 같다.

char()방식으로 값을 바까서 넣어봤다.

아스키값 구하기 귀찮아서 파이썬으로 대충코드짜서 구해서 대입했다.

 

성공!


'Wargame > webhacking.kr' 카테고리의 다른 글

webhacking.kr 37번  (0) 2018.01.15
webhacking.kr 36번  (0) 2018.01.15
webhacking.kr 34번  (0) 2018.01.14
webhacking.kr 33번  (0) 2018.01.14
webhacking.kr 32번  (0) 2018.01.14
블로그 이미지

JeonYoungSin

메모 기록용 공간

,

공지사항

글 보관함

달력

«   2024/05   »
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31

티스토리툴바