SQL char ์ทจ์•ฝ์  1

Wargame ) tmitter

tmitter ๋ฌธ์ œ์ด๋‹ค. admin ์œผ๋กœ ์ ‘๊ทผํ•˜๋ฉด ๋œ๋‹ค๋Š”๋ฐ ์ฒ˜์Œ์— ํ…Œ์ด๋ธ”์„ ๋ณด์—ฌ์ฃผ๊ธธ๋ž˜ ์ธ์ ์…˜ ๋ฌธ์ œ์ธ๊ฐ€ ํ–ˆ๋‹ค. ๋“ค์–ด๊ฐ€๋ณด๋ฉด ์ด๋ ‡๊ฒŒ ์ƒˆ๋กœ์šด ๊ณ„์ •์„ ๋งŒ๋“ค๊ฒƒ์ธ์ง€, ๊ณ„์ •์„ ์‚ฌ์šฉํ•  ๊ฒƒ์ธ์ง€์— ๋Œ€ํ•ด์„œ ์„ ํƒ์ด ๊ฐ€๋Šฅํ•˜๋‹ค. ์ฃผ์–ด์ง„ ํ…Œ์ด๋ธ” ์ •๋ณด๋ฅผ ์ด์šฉํ•ด์„œ ์ธ์ ์…˜์„ ์‹œ๋„ํ•ด๋ณด๊ฒ ๋‹ค. ID ์— admin ์„ ๋„ฃ๊ณ  password ์— 'select ps from tmitter_user where id='admin' ; -- ๋ฅผ ๋„ฃ๊ณ  ๋กœ๊ทธ์ธ์„ ์‹คํ–‰ํ–ˆ๋‹ค. ์‹คํŒจ ๋ฉ”์‹œ์ง€๊ฐ€ ๋‚˜์™€์„œ ์ฝ”๋“œ๋ฅผ ์‚ดํŽด๋ณด์•˜๋”๋‹ˆ maxlength ๊ฐ€ 32๋กœ ์„ค์ •์ด ๋˜์–ด์žˆ์—ˆ๋‹ค . ์ด๊ฒƒ์„ 50์œผ๋กœ ๋ฐ”๊พธ๊ณ  ๋‹ค์‹œ ์‹œ๋„ํ•ด๋ณด์•˜๋‹ค. ์—ญ์‹œ ์‹คํŒจํ–ˆ๋‹ค. ์‚ฌ์‹ค sql ์ธ์ ์…˜์„ ์‚ฌ์šฉํ•  ๋•Œ์—๋Š” ์ฟผ๋ฆฌ๊ฐ€ ์–ด๋–ป๊ฒŒ ์ž‘์„ฑ๋˜์—ˆ๋Š”์ง€ ํ™•์ธํ•œ ๋’ค์— ํ•ด์•ผํ•œ๋‹ค. ์–ด๋–ค ์ฟผ๋ฆฌ๋ฌธ์ธ์ง€ ๋ชจ๋ฅด๊ธฐ ๋•Œ๋ฌธ์ด๋‹ค. ๊ทธ๋ ‡๋‹ค๋ฉด ๋‹ค์Œ์œผ๋กœ ..

Hacking/Wargame 2020.07.09