갑자기 괄호가 들어간 것과 filter식에서 괄호가 없는 것을 봐서는 괄호를 쓰라는 것 같다. 근데 #도 필터링이라서 우회코드인 %00을 써주도록 하겠다.
그리고 페이로드가 6글자까지로 제한되서 sql cheat sheet를 참고해 or 1=1 대신 =0#을 사용해주었다.
이 원리는 ''이 빈공간이라 0으로 인식이 되서 그렇다고 한다. 부등호도 된다.
'전공쪽 > Lord of Sql injection' 카테고리의 다른 글
| [los] dragon (0) | 2020.11.23 |
|---|---|
| [los] xavis (0) | 2020.11.23 |
| [los] zombie assassin (0) | 2020.11.23 |
| [los] succubus (0) | 2020.11.23 |
| [los] giant && assassin (0) | 2020.11.23 |
