webhacking.kr 9번

9번은 좀 오래 걸렸다. 필터가 많아가지고 일단 페이지를 보겠다. 

column은 no, id가 있고 no=3번이 password라는 것 같다. 필터가 걸리는 게 많아서 if를 사용해서 blind sql을 했다.

일단 길이를 알아야 하니까 length()함수를 이용하여 if(length(id)in(길이),1,0)을 해보니 5가 나왔다. 

 

python으로 blind injection을 해보니 apple이 나왔는데 password가 아니였다.

다른 값이 있는 것 같다. 몇 번 해보니까 if의 True값을 no=3페이지로 해야 값이 나오는 것 같다. if(length(id)in({}),3,0)해보니 11이 나왔다. 

그리고 작은따옴표가 필터가 되어 hex로 우회했다.

답은 alsrkswhaql이다. 근데 password 폼에는 자리 제한이 있으므로 URL에 대입하면 된다.