CTF PRE
SQL Injection - Blind (WS/SOAP) 본문
soap은 프로토콜이다. 자세한 건 나중에 알아보고 soap의 특징은 주석처리가 되지 않는다는 것이다.
'or 1=1 #을 삽입해도 "We have movie tickets available in our stock" 이라는 문구만 나오고 숫자는 조회가 되지 않는다.
soap 페이지 쪽에 코드이다. sql 구문을 보면 무엇을 injection 해야 할지 알 수 있다. 일단 title=aaaaa' or 'a'='a 라고 해주면 된다.
=> 결과(티켓의 개수가 나옴)
하지만 title=aaaaa' or 'a'='b 를 삽입하면 false기 때문에 아무것도 나오지 않는다.
'웹해킹 공부' 카테고리의 다른 글
| XML/XPath Injection (Login Form) (0) | 2021.08.01 |
|---|---|
| sqlmap을 이용한 time-based (0) | 2021.08.01 |
| SQL Injection - Blind - Time-Based (0) | 2021.08.01 |
| SQL Injection - Blind - Boolean-Based (0) | 2021.08.01 |
| Drupal 웹 사이트 관리자 계정 탈취 (0) | 2021.08.01 |
'웹해킹 공부' Related Articles
more
