SQL injection 문제입니다.
모든 사용자 계정에 대한 엑세스를 확보하라고 합니다.
그렇다면 관리자로 로그인하라는 말일꺼라고 생각합니다.
Username: admin' or 1=1#
Password: 1
로 입력해보니 친절하게도 SQL문을 그대로 보여줍니다.
Syntax error 난걸 보니 구문이 틀리다는건데 필터링 되는거도 없고
주석처리한게 문제가 된거같아 바꿔보겠습니다.
'#' 대신 '--'를 사용하니 깔끔하게 성공합니다.
오라클DB를 사용하는지 '#' 은 안먹히나보네요..
admin이라는 글자를 안쓰고 [' or 1=1-- ]을 사용해도 충분합니다.
(희한한건 '--' 을 사용하려면 뒤에 공백이나 문자를 넣어야는데 없어도 되는걸 보면 해당 문자만 들어와도 성공이라고 판단하나 봅니다..)
'WarGame > hackthis.co.uk' 카테고리의 다른 글
| [HackThis] Crypt level2 (0) | 2018.08.25 |
|---|---|
| [HackThis] Crypt level1 (0) | 2018.08.25 |
| [HackThis] javascript level5 (0) | 2018.08.24 |
| [HackThis] Main level6 (0) | 2018.08.24 |
| [HackThis] Main level5 (0) | 2018.08.24 |