[HackThis] SQLi level1

SQL injection 문제입니다.

모든 사용자 계정에 대한 엑세스를 확보하라고 합니다.

그렇다면 관리자로 로그인하라는 말일꺼라고 생각합니다.

Username: admin' or 1=1#

Password: 1

로 입력해보니 친절하게도 SQL문을 그대로 보여줍니다. 

Syntax error 난걸 보니 구문이 틀리다는건데 필터링 되는거도 없고 

주석처리한게 문제가 된거같아 바꿔보겠습니다.

'#' 대신 '--'를 사용하니 깔끔하게 성공합니다. 

오라클DB를 사용하는지 '#' 은 안먹히나보네요..

admin이라는 글자를 안쓰고 [' or 1=1-- ]을 사용해도 충분합니다.

(희한한건 '--' 을 사용하려면 뒤에 공백이나 문자를 넣어야는데 없어도 되는걸 보면 해당 문자만 들어와도 성공이라고 판단하나 봅니다..)