메인화면입니다.

소스보기입니다.

[소스보기 해석]

1. ' ', '/', '*', '%' 는 공백으로 만듦

2. 'select', '0x', 'limit', 'cash' 는 필터

3. level에 해당하는 id, cash를 출력

4. id가 admin이면 성공

level이 1일 경우 위와 같이 Itusy라는 id와 1100의 cash를 출력합니다.

먼저 인젝션이 통하는지 확인하기 위해 아래와 같은 쿼리문을 만들어 확인해보았습니다.

"0||lv=2" 결과는 아래 처럼 level2의 값들이 출력됩니다.

이를 토대로 쿼리문을 만들어 아래와 같습니다.

[최종 쿼리문]

0||id=char(97,100,109,105,110)

결과는!

챌린지 46 성공!

'WAR GAME > Webhacking.kr' 카테고리의 다른 글

[webhacking.kr] Level48 (old)  (311) 2020.04.28
[webhacking.kr] Level47 (old)  (346) 2020.04.28
[webhacking.kr] Level45 (old)  (314) 2020.04.28
[webhacking.kr] Level44 (old)  (321) 2020.04.28
[webhacking.kr] Level43 (old)  (297) 2020.04.28

+ Recent posts

티스토리툴바