Web Hacking/LOS (sql injection)18 Lord of SQL Injection 2단계, cobolt 풀이 지난 1단계를 이어서 이번에는 2단계, 코볼트이다. 빠르게 코드부터 살펴보자. 코드를 먼저 분석해보자. 이번에는 조건문이 1단계에 비해 뭔가 더 복잡해졌다. id값이 admin일 때 풀 수 있는 문제이다. 조금만 더 생각해보면, 그냥 id에 admin을 넣으면 되는 아주 간단한 구문이다. 정답은 더보기 클릭! 더보기 ?id=admin'%23 %23은 #의 아스키코드 값에 %를 붙인 값이다. 여기서 1=1구문을 넣지 않은 것은, $query문이 모두 참이되어 id값이 전부 select될 경우 if가 아닌 else if문이 실행되기 때문이다. 문제에서 요구하는 정확한 값을 집어넣도록 하자! 2019. 10. 27. Lord of SQL Injection 1단계, gremlin 풀이 요즘 하루 한 개씩 풀고 있는 sql injection 문제다. 기초도 쌓이고 아직까지 그렇게 높지는 않아서 재밌게 풀고 있다. 사진 속 gremlin을 클릭하면, 잡다한 코드가 나온다. 분석해보자. 난 복잡한 코드를 보면 뇌가 정지되는 병이 있어서 한 3분간 주춤했다. 그런데 따지고 보면 그다지 어렵지는 않은 코드다. 중요한 코드들만 뽑아서 문제를 해결해 보자! preg_match 함수는 정규표현식 함수이다. 쉽게 말해 저 정규식에 포함되는 문자가 들어가면 exit된다는 뜻이다. $_GET[ ]은 우리가 url창을 통해 직접 입력이 가능하다. 즉, 임의로 변경할 수 있는 값이다. mysql에서는 한 줄 주석을 #으로 주로 처리하는데, --로도 가능하다는 사실을 최근에 알았다. --로 할 시 이후 공백이.. 2019. 10. 27. 이전 1 2 3 4 5 다음
