webhacking.kr 35번

webhacking.kr 35번 문제다.  점수는 350point. 전화번호 입력창이 있고 소스가 있다. 소스를 확인해보니 일단 필터링이 되고있다. 쿼리문 파괴하는것 자체는 별로 어렵지 않아보인다. admin 사용자에 내 ip값만 id,ip값에 넣어주면 될 것 같다. 대충 123),('admin','x2x.xxx.xxx.xxx',1234 와 같이 insert sql injection 해주면 될 것 같다. 에러가 뜬다. 흠...뭐지... 코드상으론 문제가 없다. 아마도 php magic quote 기능때매 '가 자동으로 필터링 되고 있는 것 같다. char()방식으로 값을 바까서 넣어봤다. 아스키값 구하기 귀찮아서 파이썬으로 대충코드짜서 구해서 대입했다.   성공!