뉴비에욤
los - xavis 본문
정규식을 사용하기 못하게 "regex, "like" 을 필터링하고 있다.
클리어 조건을 보면 pw를 체크하는 것으로 보아 blind sql-inecjtions 문제라는 것 또한 확실하다.
얼핏 보면 굉장히 쉬운 레벨이기도 하지만 문제는 db에 저장된 pw(비밀번호)에 있다.
저장된 비밀번호가 무려 한글이다. 즉, 일반적으로 blind sql injection은 pw를 한글자씩 자른 후 비교하는것인데 pw를 한글로 저장하면 맞춰야 하는 가지수가 굉장히 많아진다.
이번 문제는 한글에서 발생할 수 있는 모든 조합을 리스트에 넣어놓고 해당 리스트를 한글자씩 잘라서 비교하는것이다.
prob19.py'Lord_of_SQL-Injections_I' 카테고리의 다른 글
| los - iron golem (2) | 2015.08.10 |
|---|---|
| los - dragon (0) | 2015.08.10 |
| los - nightmare (0) | 2015.08.10 |
| los - succubus (0) | 2015.08.10 |
| los - zombie assassin (0) | 2015.08.10 |
'Lord_of_SQL-Injections_I' Related Articles
more
Comments