코드 분석
id에 값을 받아와 strtolower() 함수로 모두 소문자로 변한한 뒤, 'admin'이라는 문자열을 str_replace() 함수를 통해 없앤다.
공격 기법
'admin'이라는 문자열 사이에 'admin'을 넣게 된다면,
'admadminin' -> 'adm' + '' + 'in' -> 'admin' 이런 식으로 'admin'이라는 문자열을 만들 수 있게된다.
?id=admadminin
'Web > Lord of Sql injection' 카테고리의 다른 글
golem 문제 풀이 (1) | 2023.09.09 |
---|---|
skeleton 문제 풀이 (0) | 2023.09.09 |
troll 문제 풀이 (0) | 2023.09.09 |
orge 문제 풀이 (0) | 2023.09.09 |
darkelf 문제 풀이 (0) | 2023.09.09 |