-
<Root-me> SQL injection - AuthenticationWargame/Root-me = Web - Server 2022. 1. 1. 23:55
SQL injection - Authentication
관리자 비밀번호를 찾으라고 한다.
기본적인 SQL Injection 구문인 Login에 "' or 1=1-- "을 입력하고 Password에는 아무 값을 입력하면
사용자 정보가 출력된다.
페이지 소스 코드를 살펴보면
비밀번호가 출력되게 되어있어 관리자의 ID만 찾으면 될 것 같다.
Login에 "admin'-- "를 입력하고 Password에 아무 값을 입력하면
비밀번호를 얻을 수 있다.
'Wargame > Root-me = Web - Server' 카테고리의 다른 글
<Root-me> SQL injection - Authentication - GBK (0) 2022.01.02 <Root-me> PHP - Command injection (0) 2022.01.02 <Root-me> HTTP - Cookies (0) 2022.01.01 <Root-me> File upload - Double extensions (0) 2021.12.31 <Root-me> HTTP - POST (0) 2021.12.31