2020-02-09 Irish-Name-Repo 2 [picoCTF 2019 Web 350] Security 競プロのコード例について補足 競技プログラミング練習問題集 Twitter 競技セキュリティまとめのまとめ https://ctftime.org/task/9546 前提知識 SQLインジェクション 解説 前の問題のペイロードを試すと、SQLinjectionが検知されてしまう。 メッセージで出している所を見ると、判定関数を噛ませてあるのだろう。 何で引っ掛けているか分からないが、判定関数をうまくすり抜けてインジェクションしてみよう。 ここを見ると大量のペイロードが紹介されている。 admin'--をUsernameに入れればフラグが取れる。