[webhacking.kr] Challenge_old-27 문제풀이 (SQL Injection)

 

webhacking.kr old-27번 문제

 

SQL INJECTION이라고 떡하니 써져있다.

 

 

소스를 보면 select # ( limit 공백 = 0x 을 필터링하고있다.

no의 값을 get으로 받는데 ()괄호로 둘러쌓여있고 admin로 접근하면 된다. 

 

 

 

입력값은 2) or no like 2 -- 

공백은 %09로 입력했다. 주의할 점은 --주석 뒤에도 공백을 입력해줘야 한다는 점!

 

 

---

[리뷰]

 내가 제일 약한 부분인 sql...아놔 언제까지 약할 셈인지...? 

저 --주석 뒤에 공백넣는것때문에 엄청 머리를 싸맸다. 심지어 예전에 본 풀이인데...그걸 고새 또 까먹네....

역시 복습복습복습이다. 좀 더 sql이랑 친해져야....(친해지기 싫음)