Lord of SqlInjection - 7번 ORGE 7번 문제는 LOS 6번을 응용한 blind Sqlinjection 입니다. preg_match('/or|and/i', $_GET[pw]) 함수로 인해 sql 쿼리에 or 및 and를 사용할 수 없습니다. and => %26%26, &&로 대체 or => %7c%7c, ||로 대체 위에 특수문자를 이용하여 대체할 수 있습니다. URL 파라미터에 ?pw=' || length(pw)=8%23 를 입력하면 위와 같이 'Hello admin' 메시지가 나옵니다. admin의 패스워드는 8자리 입니다. 이후 파이썬 코드를 이용하여 brute force를 하여 패스워드 확인을 할 수 있습니다. 더보기 *** 정답 *** ?pw=' || id='admin' %2..
