Webhacking.kr 49번

1. 문제 확인

 

 

2. 코드 확인

 

3. 문제 풀이

 

이 부분을 이용해서 SQL INJECTION을 하면 될 것 같다.

 

그냥 화면에 나와있는 1을 넣어보았더니 ltusy라는 문자가 나온다.

 

그리고 admin을 제출해보았다.

 

그랬더니 아무것도 나오지 않고 필터링 되는 것을 확인 할 수 있다.

 

그래서 0 or id=admin으로 하는 것이 가장 쉽다고 생각했다.

 

%0a 공백을 나타내주는 것,

그리고 ' "이 필터링이 되기 때문에
admin을 16진수로 바꾸어주었다.

 

0%0a||%0aid=0x61646d696e

 

4. 결과