[websec.fr] easy - Level 13

첫 화면에 1,2,3 디폴트로 값이 들어가 있는것을 확인하고 go를 눌러 결과 값을 확인해보았다.

각 id에 해당하는 값과 권한을 출력해주는 것 같다.

 

소스코드를 보니 가장 먼저 쿼리문이 보인다.

SELECT user_id, user_privileges, user_name FROM users WHERE (user_id in (".$selector."));

보니 tmp 값이 implode 되어 쿼리 문에 들어가서 출력되는것 같다.

 

여기서 보아야 할 포인트는 tmp값이 1미만일 경우 unset 함수를 호출 한다는 것이다.

그러면서 count값이 줄어들면서 반복하는데 그러다보면 배열 끝에 있는 일부 요소 체크하지 않게 되는점을 이용한다.

 

일단 user_password에 flag 값이 있을 것이라고 추측하여 쿼리를 만들면 앞선 구문을 맞추기 위해서 아래와 같이 된다.

)) union select user_password,user_name,3 from users--

 

또한 임의로 체크 값을 체크하지 못하도록 0을 계속해서 추가해 주다보면 우리는 flag 값을 얻을 수 있다.

페이로드 0,0,0,0)) union select user_password,user_name,3 from users--