추파카브라? 뭐하는 몬스터인지 모르는데 사진을 보니까 친절하진 않을 거 같다.(literally 'goat-sucker'?) 코드를 살펴보자
코드
와우! 일단 WAF가 없다.(URL보고 판단했다.) 또한 코드길이가 그리 길지 않으니 뭔가 어려울 거 같다는 생각이 든다.
바로 해결방법을 생각해 보자
해결방법
Answer Url : los.rubiya.kr/chall/XXXX.php?id=admin%27--%20
2-SY! 왜 이렇게 쉬워졌나 했더니 이번부터는 새로운 DB인 SQLLITE가 사용되었다고 한다. 자세히 보면 % db연결 부분이 mysql_이었던 지난 문제들과 달리 sqllite_open()을 사용하는걸 알 수 있다.
이번 문제는 그에 따른 입문 문제로 생각해 주면 되겠다. 하나 참고로 주면 혹시 저번 문제까지 주석을 "#"(%23)을 사용하던 용사들은 --%20을 사용해주기를 바란다.(필자의 포스팅을 계속 봐왔으면 상관없다. 난 애초에 %23을 안 썼다)
새로워진 DATABASE.(몬스터를 잡는 곳이니까 우리한테는 필드가 맞는 건가?)와 함께 만난 새로운 문제였다. 다음 관문에서 여러분들을 기다리겠다.
'WarGame > Lord of SQL Injection' 카테고리의 다른 글
| [LOSI] Lord of SQL Injection Level 39 - Benshee (0) | 2021.04.25 |
|---|---|
| [LOSI] Lord of SQL Injection Level 38 - Manticore (0) | 2021.04.25 |
| [LOSI] Lord of SQL Injection Level 36 - Cyclops (0) | 2021.04.25 |
| [LOSI] Lord of SQL Injection Level 35 - Godzilla (0) | 2021.04.24 |
| [LOSI] Lord of SQL Injection Level 34 - Death (0) | 2021.04.24 |