웹해킹 35번1 webhacking.kr 35번 [SQL Injection] 35번 문제를 보면 아래와 같이 phone을 입력받고 있다. 아래는 index.phps 코드이다. clear하기 위해서는 admin의 ip와 $_SERVER[REMOTE_ADDR]이 일치해야한다.이 때, 쿼리문을 보면 insert into를 수행하는 것을 볼 수 있다.우리가 입력한 값인 phone은 values()의 마지막에 들어가는 것을 볼 수 있다. 이 점을 이용하여 id는 admim, ip는 본인의 ip로 설정하면 될 것으로 보인다. 이 것은 mysql에서 insert into - values - 를 수행할 때 여러개의 value_list를 허용하기 때문에 가능하다. 예를 들면,insert into challenge35_listvalues (‘sand’, ‘0.0.0.0.. 2019. 1. 29. 이전 1 다음