LOS - wolfman

2020. 5. 5. 18:41Web

screenshot1

간단하게 id='guest' and pw='aaa' <- 이 부분을 false로 만들고 뒤에 or id='admin' 조건을 붙이면 성공할 것 같다.

그리고 전과다르게 이번엔 띄어쓰기를 필터링했다.

 

그럼 띄어쓰기 역할을 하는 다른걸 넣어보자.

\t , \n , \r , 주석 , (괄호) , + (이건 띄어쓰기니까 패쓰)

내가 사용한건 \t이고 \t를 url 인코딩을 하면 %09 이므로 다음과 같이 파라미터를 붙여주쉬

 

?pw=aaa'%09or%09id='admin

 

screenshot2

쉽게 풀리게 된다

'Web' 카테고리의 다른 글

LOS - orge  (0) 2020.05.05
LOS - darkelf  (1) 2020.05.05
LOS-orc  (0) 2020.05.03
LOS-goblin  (0) 2020.05.02
LOS - cobolt  (1) 2020.05.02