開発
2015/1/31
WeChall — "Training: MySQL I"
beko
この記事は1年以上前に書かれたもので、内容が古い可能性がありますのでご注意ください。
今回は、wechallにのっている基本的なSQLinjectionの問題を解こうと思います。
まずページにいくとこの画面になります。
ここにソースコードのリンクが貼られているので、ソースコードを見ていきます。
ここをみてusernameはadminでいけるかなと思ってpasswordをそのままpasswordと打ってやってみたり色々やってたけどこれではできなさそう。
しかし途中で’がエスケープされてないことに気づいたのでSQLinjectionの定石っぽい’or 1=1と書いて前の条件を’でエスケープして後ろの条件を真にすればいいと思ったので試してみると
これでいけました。
もっと広い範囲で問題を解けるようにしていきたいと思います。
- Tweet
-
Comments are closed.
2024/12/06
2024/09/13
2024/05/17
2024/05/10
2024/01/05
2023/08/18
2023/07/14
2023/05/12