view-source 클릭 !
$_GET['phone']에 *, /, =, select, -, #, ;가 포함되어있으면 no hack을 출력한다.
$_GET['id']는 5를 넘으면 안되고, admin을 입력할 수 없다.
입력된 $_GET['id']와 $_GET['phone']는 chall35테이블의 id와 phone칼럼에 추가되고, $_SERVER['REMOTE_ADDR'](ip주소)는 ip칼럼에 추가된다.
이 때, id=admin이고 ip=내 ip주소인 데이터가 존재한다면 문제가 해결된다.
$_GET['id']에는 admin을 직접 입력할 수 없다. 그러므로 insert문을 이용해 id가 admin이고, 내 ip주소를 갖는 데이터를 추가해주면 된다 !
phone=0),('admin','내 ip주소',35&id=guest
'WEB > webhacking.kr (old)' 카테고리의 다른 글
| webhacking.kr 9번 (0) | 2022.03.31 |
|---|---|
| webhacking.kr 29번 (0) | 2020.04.12 |
| webhacking.kr 60번 (0) | 2020.04.11 |
| webhacking.kr 53번 (0) | 2020.04.10 |
| webhacking.kr 49번 (0) | 2020.04.08 |