저번에 구축한 dvwa 실습 환경을 실행하고 ifconfig를 터미널에 입력해 줍니다.
그렇게 나온 ip을 브라우저에 입력해 주고 id에 admin, password에 password를 입력해 줍니다. 그리고 왼쪽에 있는 sql injection으로 들어가 줍니다.
유저 아이디를 넣으면 해당 정보가 나오는 창인 것 같습니다. 1을 넣어봅시다.
아마 sql 쿼리가
select * from user where id='{입력}'
이런 형식일 것 같네요. 그럼 입력으로 1' or '1'='1을 넣으면 어떻게 될까요?
select * from user where id='1' or '1'='1'
이 되면서 모든 정보를 출력할 수 있습니다.
'해킹 슈퍼 기초 연습' 카테고리의 다른 글
| dvwa file inclusion (0) | 2024.07.08 |
|---|---|
| dvwa 파일 업로드 취약점 (0) | 2024.07.07 |
| ip 위치 추적 (0) | 2024.06.29 |
| 쉘 털어보기 (0) | 2024.06.28 |
| kioptrix, DVWA 세팅 (1) | 2024.06.22 |
