SQL injection 문제
규칙을 찾아서 위와 같이 칠해주면 다음 페이지가 뜬다.
아무거나 입력하니 answer, ip가 뜬다.
answer, ip 값은 고정적이다.
hidden 타입으로 answer와 그 값이 전달되는 것을 알 수 있다.
처음에 입력받는 부분에 sql injection을 시도했지만, 입력이 그대로 전달되는걸 보아 문자열로 취급하는 것 같았다.
그래서 value 값에 '를 넣어보니 쿼리 에러가 발생하여 sql injection을 시도해보았다.
'Wargame > Webhacking.kr' 카테고리의 다른 글
| [Webhacking.kr] 7번 (0) | 2021.05.04 |
|---|---|
| [Webhacking.kr] 6번 (0) | 2021.05.03 |
| [Webhacking.kr] 5번 (0) | 2021.05.03 |
| [Webhacking.kr] 4번 (0) | 2021.05.03 |
| [Webhacking.kr] 1번 (0) | 2021.05.03 |