Webhacking.kr old 49번 문제 풀이

49번을 클릭하면 위와 같은 문제가 나온다!

view-source를 눌러서 코드를 확인하자~!

 

preg_match로 select, or, and (), limit, /, order, 탭, ', ", , 가 필터링 된다.

입력한 값은 where문에 들어가게 되고, result[0]이 admin일 경우 문제가 풀린다.

 

1을 보냈을 경우에는 위와 같이 출력되는 값이 존재한다.

 

그러나 0을 입력했을 경우에는 아무런 값도 출력되지 않는다.

0을 이용하여 문제를 풀어보자.

 

이때 ()와 ', " 등이 필터링 되기 때문에 char()이나 'admin'과 같은 방식으로는 admin을 입력할 수 없다.

그래서 hex값을 이용하였다!

 

위처럼 입력해주었고, 그랬더니 문제가 풀렸다!