Wargame/CTF(Capture The Flag)

Challenge 27 - SQL Injection

๐“›๐“พ๐“ฌ๐“ฎ๐“ฝ๐“ฎ_๐“ข๐“ฝ๐“ฎ๐“ต๐“ต๐“ช 2015. 9. 5. 10:37
728x90
๋ฐ˜์‘ํ˜•


๋จผ์ € 27๋ฒˆ์„ ๋“ค์–ด๊ฐ€๊ฒŒ ๋˜๋ฉด 

์œ„์˜ ์‚ฌ์ง„์ฒ˜๋Ÿผ sql injection๋ฌธ์ œ๋ผ๋Š” ๊ฒƒ์„ ์•Œ์ˆ˜ ์žˆ๋‹ค.


์ด์ œ ์†Œ์Šค๋ฅผ ๋ณด๊ฒŒ ๋˜๋ฉด


if(eregi~~~)๋ฅผ ๋ณด๊ฒŒ ๋˜๋ฉด union๋“ฑ์„ ์“ฐ๋ฉด no hack ์ด๋ผ๋Š” ๋ง์„ ๋„์šฐ๋Š” ๊ฒƒ์„ ํ™•์ธ ํ• ์ˆ˜ ์žˆ๋‹ค.


์šฐ๋ฆฌ๋Š” admin์˜ ๊ฐ’์„ ๋ฐ›์œผ๋ฉด ๋‹ต์„ ์–ป์„ ์ˆ˜์žˆ๋Š”๋ฐ ๊ณผ์—ฐ ???


์šฐ๋ฆฌ๋Š” ์ด์ œ ์ฟผ๋ฆฌ๋ฌธ์„ ๋„ฃ์–ด injection์„ ํ•ด์•ผํ•˜๋Š”๋ฐ 


-1) or no like 1--(๊ณต๋ฐฑ)์„ ์ž…๋ ฅํ•˜๋ฉด guest๋ผ๋Š” ๋ง์ด ๋‚˜์˜ค๋Š” ๊ฒƒ์„ ํ™•์ธํ•  ์ˆ˜์žˆ๋‹ค.

-1) or no like 1-- ๋Š” no=1 ์ด๋ผ๋Š” ์˜๋ฏธ๋กœ ์ด์ œ guest๊ฐ’์„ ์–ป์–ด ๋ƒˆ์œผ๋‹ˆ


-1) or no like 2--(๊ณต๋ฐฑ)์„ ์ž…๋ ฅํ•˜๋ฉด ๋ฌธ์ œ Clear!!!


728x90
๋ฐ˜์‘ํ˜•
์ €์ž‘์žํ‘œ์‹œ