old-35 풀이

폰 번호를 입력하는 폼이 하나 있습니다 코드부터 확인해 보겠습니다 SQL Injection 문제인 것 같네요 preg_match()로 *, /, =, select, -, #, ;, admin을 필터링하고 있습니다 그리고 id의 길이가 5 이상이면 안된다고 되어있네요 문제 해결 조건은 isAdmin의 ip와 제 PC의 IP가 동일해야 한다고 되어있습니다 "insert into chall35(id,ip,phone) values('{$_GET['id']}','{$_SERVER['REMOTE_ADDR']}',{$_GET['phone']})" 위 쿼리에서 id에는 길이 제한이 있으므로 phone에 값을 넣는 것이 좋아 보입니다 (메인 페이지에 있는 입력란이 phone이기도 하고요) 문제를 풀기 위해 필요한 데이터..

2024.02.19