Webhacking.kr old-46

문제 화면

 

SQL INJECTION문제이다.

 

코드의 result부분을 보면 id가 admin이면 문제가 해결되는 것 같다.

또한 공백 / * % 0x select limit cash 등이 필터링되는 것을 확인할 수 있다.

lv 값도 GET방식으로 받아준다.

 

위의 필터링되는 문자들을 사용하지 않고 get방식으로 url에 admin이라는 id를 넣어주면 된다.

 

admin은 char함수를 이용해 넣어주면 해결될 것이다.

admin = char(97,100,109,105,110)

 

이 값을 입력 칸에 넣고 제출해주면

문제를 해결할 수 있다.