[webhacking.kr] 46번 문제

300점인 46번 문제를 풀어보자.

 

 

lv=1 일 때 id : ltusy, cash : 1100

lv=2 일 때 id : udnrg, cash : 800

lv=3 일 때 id : fvvcg, cash : 1200

lv=4 일 때 id : bzrbo, cash : 700

 

&&(and) 문자는 사용가능한 것을 확인했다.

lv 변수에는 공백, /, *, %, select, 0x, limit, cash 문자열이 필터링 된다.

쿼리 후의 id 값이 admin이면 문제를 해결할 수 있는데, 0x가 필터링 되고 있으므로 hex값으로는 입력이 불가능하니, char()함수를 이용하여 admin을 injection해보자.

 

쿼리문 : 1&&id=char(97,100,109,105,110)