skeleton 입장!
이번 문제는 뒤에 주석처리만 잘해주면 되는 문제다.
query 마지막에 and 1=0 때문에 해당 쿼리는 항상 거짓이 된다. 따라서 pw 마지막에 주석을 달아서 and 1=0 부분을 무효화 해야 한다.
payload는 다음과 같이 작성할 수 있다.
?pw=' or id='admin'# → ?pw=%27%20or%20id=%27admin%27%23
skeleton 해결!
'Study > Web Hacking' 카테고리의 다른 글
| [LOS] golem (0) | 2021.07.11 |
|---|---|
| [natas] Level 19 -> Level 20 (0) | 2021.07.11 |
| [LOS] vampire (0) | 2021.06.27 |
| [natas] Level 18 -> Level 19 (0) | 2021.06.27 |
| [natas] Level 17 -> Level 18 (0) | 2021.06.27 |