LORD OF SQLINJECTION - ORGE ▶ 코드 확인 blind SQL injection 을 수행했던 orc와 비슷한 코드 진행이다. blind SQL injection을 수행해야함을 유추해볼 수 있으나, 필터링되는 단어가 있기에 이를 우회할 방법을 생각해볼 필요가 있다. 단순히 or, and와 같은 단어를 필터링하면, || &&과 같은 기호로 우회할 수 있음은 간단히 생각해볼 수 있다. 우회하는 쿼리문을 생각해보면 다음과 같다. select id from prob_orge where id='guest' and pw=''||id='admin && ascii(substring((pw),{몇번째 글자},1))={ascii숫자} and '1'='1' ▶ 풀이 수작업으로 수행하기는 어려운 사항이 많으니, python을 이용하여 injector를 만들.. 2022. 11. 26. 이전 1 다음
