728x90
문제를 처음틀면 나오는 화면이다. 일단 소스를 보자.
소스를 보면 join을 할때 id와 phone모두 admin이라는 단어를 필터링하고 sql인젝션에 사용될것같은 것들을 막아놓았다. 게다가 id부분에 sql인젝션을 시도해보면 먹히질않는데 아마 single quotation으로 묶여있는것같다. 그러면 phone에서 공격을 시도해보자.
이렇게 reverse를 사용해서 nimda를 뒤집어서 admin으로 되게 만들어준다.
그리고 로그인을 해보면
이렇게 성공하게된다.
'wargame > webhacking.kr' 카테고리의 다른 글
| webhacking.kr 23번 문제 풀이!!! (0) | 2017.10.25 |
|---|---|
| webhacking.kr 61번 문제 풀이!!! (0) | 2017.10.21 |
| webhacking.kr 42번 문제 풀이!!! (0) | 2017.10.21 |