old-18

대충 sqli 라고 알려주는 페이지다. 리얼 월드라면 하나하나 해봐야 알겠지만, 소스 볼 수 있으니 소스를 한 번 봐보자.

mysqli_fetch_array(mysqli_query($db,"select id from chall18 where id='guest' and no=$_GET[no]")) 를 admin으로 만드려면 admin no = 2라고 했으니까 no를 2로 만들어 주면 된다.

id가 게스트니까, no=0을 만들어 주고 or 로 no = 2 만들어주면 문제에서 좋아 죽을 것 같다.

근데 필터링에 가 있으니까 url인코딩 해서 우회하면 되겠지? 할 수 있는데, 애초에 url decode를 해서 넘어가므로 소용이 없다.

그래서 공백 대신에 사용할 수 있는 알아두면 좋은 코드가 %0a 이다.

그럼 익스는 ?no=0%0aor%0ano=2 넘겨주면 된다.