목록webhacking.kr #21번 (1)
controlpro
[Webhacking.kr] 21번 blind sql injection
문제에 대놓고 Blind sql injection이라고 나와있다. 내가 Lord of sql injection에서 굉장히 많이 풀었기 때문에 익숙한 문제이다. 입력값에 따라 달라지는 반응을 토대로 이게 참 값인지 거짓 값인지 구분 하는 것이다. 일단 입력값에 따라 다른 값을 찾아야 한다. 아무거나 입력해보자 일단 아무거나 입력을 하면 다음과 같이 뜬다. login fail. 그러면 내가 sql injection으로 항상 참이되는 값을 입력을 하면 어떻게 될까? 다음과 같이 입력을하면 (id = admin pw =) or '1' = '1' 과 같이 다음과 같이 쿼리가 들어가서 참이 된다. (or 뒷부분이 항상 참이므로) 이것을 입력을 하면 다음과 같이 wrong password라고 나온다!!! 그러면 참은..
Webhacking/Webhacking.kr
2020. 12. 24. 15:42