[Wargame] Lord of SQL Injection - skeleton

문제 화면

[LoS - skeleton]

- 6행의 코드를 보면 pw 값을 입력 받은 이후에 추가로 adn 1=0 구문이 추가되었다.

- and 1=0 을 통해 의도적으로 값을 거짓으로 만드는 듯 한데 …

- 별다른 필터링이 없으므로, 여태 풀이해왔던 대로 pw 값에 or 구문을 이용하여,

- id 값을 admin 으로 출력하도록 작성 후 주석 처리를 통해 and 구문을 주석화하면 될 듯 하다.

 

 

or 구문과 주석 처리(#, %23)을 통한 and 문 우회

[주석 처리를 통한 and 구문 우회]

- 위 예제에 사용한 구문은 다음과 같다.

- pw=1’ or id=’admin’%23

- or 구문 이후 id 값에 admin을 입력 후 # (%23)을 이용하여 뒤의 and 구문을 주석화시킨다.

- 성공적으로 skeleton 문제도 Clear 할 수 있었다 !