처음 guest 로그인은 로그인 성공으로 뜬다. admin은 login fail(거짓)로 뜬다. 세 번째로 sql 공격을 해보니 wrong password라고 떴다. 즉, 쿼리문이 성립된다는 것인데(참) id는 amdin으로 하고 pw를 알아내야 한다. f12(개발자 도구)에서 해당 페이지의 세션을 가져왔다. 참과 거짓일 경우의 반환값이 다르므로 Blind SQL Injection이다. 파이썬으로 코드를 짜주어야 한다. import requests stop=0 pw_len=0 pwd='' url = "https://webhacking.kr/challenge/bonus-1/index.php?" c = {"cookie":"'PHPSESSID'='qmq2gk5jk67e1luq2g43cflf57'"} # 비밀번..
