webhacking.kr 271

• 

  Challenge 27 - SQL Injection 먼저 27번을 들어가게 되면 위의 사진처럼 sql injection문제라는 것을 알수 있다. 이제 소스를 보게 되면 if(eregi~~~)를 보게 되면 union등을 쓰면 no hack 이라는 말을 띄우는 것을 확인 할수 있다. 우리는 admin의 값을 받으면 답을 얻을 수있는데 과연 ??? 우리는 이제 쿼리문을 넣어 injection을 해야하는데 -1) or no like 1--(공백)을 입력하면 guest라는 말이 나오는 것을 확인할 수있다.-1) or no like 1-- 는 no=1 이라는 의미로 이제 guest값을 얻어 냈으니 -1) or no like 2--(공백)을 입력하면 문제 Clear!!! Wargame/CTF(Capture The Flag) 2015. 9. 5.