Webhacking 49번 문제 풀이

[그림 1]

level 숫자를 달리 하였더니 숫자별로 뭔가 값을 불러 오는것을 확인 했다 소스 코드를 확인하자

[그림 2]

음 불러온 값이 admin이면 해결 되는 문제인거 같다.

preg_match 문자열 비교 함수를 잘 우회해서 해결하면 될거 같다. 몇번의 no hack 표시를 본후 구문을 완성 하였다.

?lv=99%0a%7C%7C%0aid%0alike%0a0x61646d696e

사전에 99는 존재하지 않는 것을 확인하여 lv=99라는 부분은 거짓을 만들어 뒤에 id=admin을 불러오도록 하였다.

char(97,100,109,105,110)을 사용하지 않은 이유는 필터링에 ,(콤마)가 들어어 no hack이 뿜어져 나왔다.

[그림 3]

클