Lord Of SQL Injection [ 18.Nightmare ]

2017. 9. 16. 18:54WebHacking/Lord of SQL injection





6글자내로 조건식을 참으로 만들어야 한다

mysql의 특이한 구문에 대해 알아야한다


1> " 변수=값=0 "

어느 다른 문법에서도 볼 수 없었던 처음 보는 문법이였다

예를 들어서  A=123=0 이라는 조건식이라고 가정해보자

먼저 A=123 을 비교하면 결과는 False 값이 나오게 된다

그리고 Fasle = 0 을 비교하게 되면? True를 반환하게된다


2> 주석처리

preg_match함수로 인해서 # 과 -- 주석을 쓸 수가 없다

그럼 어떻게 뒤의 문장들을 주석처리를 할 것인가?

" ;%00 " 을이용한다 => ; 는 쿼리문을 두개 같이 실행시킬 떄 사용하는 것은 알고 있을것이다

( 쿼리문1 ; 쿼리문2 : 쿼리문1 실행 후 쿼리문2 도 실행 )

; 다음에 %00( Null ) 값을 준다면, 문장의 끝으로 인식하고 쿼리문2가 "%00" 이 되고 뒤의 문장은 확인하지 않게된다

이렇게 " ;%00 "을 사용하여 주석처리를 대신 할 수 있다