생선이의 잡다한 블로그

Lord of SQL Injection - Goblin 본문

Hacking/ Lord of SQL Injection

Lord of SQL Injection - Goblin

생선스프 2018. 5. 7. 01:32
반응형

 


 

이 문제에는 앞의 id 가 guest로 고정이 되어있고 no 만 입력을 받고 있네요

그럼 or 을 적절히 활용하여 앞 부분을 거짓으로 만들고 뒷 부분을 id에 admin을 넣어 참이 되도록 하면 될 것 같습니다

 

그래서 아래와 같이 적어줬는데 문자열이 막혀있군요

?no=123123 or id='admin'

여기서 no에는 guest의 no 값과 같아지지 않게 하기위해 아무런 값이나 넣었습니다

 

 

 

이럴때 문자열을 16진수로 나타내주면 이 16진수 값을 문자열로 읽어 간다고 합니다

 

아스키코드로

a    0x61

d    0x64

m   0x6D

i     0x69

n    0x6E

이므로 모두 조합하면 admin은 16진수로 0x61646D696E

 

따라서

?no=123123 or id=0x61646D696E

위와 같이 적어주면 됩니다!

 

반응형

'Hacking > Lord of SQL Injection' 카테고리의 다른 글

Lord of SQL Injection - Wolfman  (2) 2018.05.07
Lord of SQL Injection - ORC  (0) 2018.05.07
Lord of SQL Injection - Cobolt  (0) 2018.05.07
Lord of SQL Injection - Gremlin  (0) 2018.05.07
Comments