To comply with the rule, in this write up, some hints related to this challenge only will be mentioned.
룰을 준수하기 위해, 여기서는 챌린지와과 관련된 몇 가지 힌트만이 언급됩니다.
In this assignment try to perform an SQL injection through the ORDER BY field. Try to find the ip address of the webgoat-prd server, guessing the complete ip address might take too long so we give you the last part: xxx.130.219.202
이번 챌린지에서는 "ORDER BY"절을 이용하여 SQL 인젝션을 실습해볼 수 있다. "webgoat-prd" 서버의 IP 주소를 확보하라. 완전한 주소를 찾는 데까지 장시간 소요될 수 있으므로, IP 주소의 일부를 이와 같이 알려주도록 하겠다. xxx.130.219.202
Note: The submit field of this assignment is NOT vulnerable for an SQL injection.
주의: 아래의 "Submit" 버튼은 SQL 인젝션에 취약하지 않음.
이번 챌린지에서는 "ORDER BY"절을 이용하여 SQL 인젝션을 실습해볼 수 있다. "webgoat-prd" 서버의 IP 주소를 확보하라. 완전한 주소를 찾는 데까지 장시간 소요될 수 있으므로, IP 주소의 일부를 이와 같이 알려주도록 하겠다. xxx.130.219.202
Note: The submit field of this assignment is NOT vulnerable for an SQL injection.
주의: 아래의 "Submit" 버튼은 SQL 인젝션에 취약하지 않음.
At the time of reading the record of "webgoat-prd", check the IP attribute value by using the and operator. the above code checks that the first value of the IP address is the same as the character '1'. If you send the numbers to the server by changing the underlined number 1(1~3) on the middle and the underlined number 1(0~9) on the right end in "substr(ip,1,1)='1')", you will be able to get three digits soon.
"webgoat-prd"의 레코드를 열람할 시점에 and 연산자를 이용하여 IP 어트리뷰트 값을 조금씩 떼어 확인해본다. 위 코드에서는 해당 IP 주소의 첫 번째 값이 문자 형태의 '1'과 동일한지 확인한다. "substr(ip,1,1)='1')"에서 밑줄 친 가운데 숫자 1과(1~3) 우측 끝의 숫자 1을(0~9)를 바꿔가며 서버에 전송하다보면 세 자리 정도는 금방 구할 수 있을 것이다.
