write-up/web
[webhacking.kr] Challenge 26
id에 admin이 있으면 걸러낸다.
- urldecode(): 문자열 URL 디코딩 함수
id를 디코딩한 결과가 admin과 같아야 문제가 풀린다는 것 같다.
admin --> 61 64 6D 69 6E
?id=%61%64%6D%69%6E
ascii 인코딩 방식으로 넣었더니, 다음과 같은 결과가 나왔다.
* URL은 %** 라는 문자를 16진수인 0X** 문자로 인식함.
그래서 다음과 같이 입력하명 admin이라는 문자로 인식되기 때문에 안되는 것임.
%을 한번 더 인코딩해보면 어떨까?
% --> 25
%2561%2564%256D%2569%256E
'write-up > web' 카테고리의 다른 글
| [HackCTF] / (0) | 2019.11.19 |
|---|---|
| [webhacking.kr] Challenge 15 (0) | 2019.10.04 |
| [webhacking.kr] Challenge 54 (0) | 2019.10.03 |
| [webhacking.kr] Challenge 24 (0) | 2019.10.03 |
| [webhacking.kr] Challenge 17 (0) | 2019.10.01 |
댓글