webhacking.kr 26번

Wargame/webhacking.kr 2018. 1. 11. 17:53

webhacking.kr 26번 문제다.

점수는 100point.

들어가보니 깜깜하고 소스확인을 하면 될 것 같다.

100점짜리가 간단하다. 처음에 admin필터링을 우회한 후 urldecode된 값이 admin이면 성공이다. 그렇다면 처음에 admin을 urlincoding해서 보내주면 첫번째 필터링에서 우회하고 그다음 디코딩 되므로 자연스럽게 성공할 것이다.

admin을 urlencoding 해서 보내봤다.

흠.. 왜실패하지.. 아 생각해보니 php는 값을 보내고 받을때 인코딩 디코딩을 한번씩 자체적으로 했었었다.

그러면 인코딩이 한번된 값을 보내면 자동으로 한번 디코딩을 해서 첫번째 필터링에서 걸려버린 것 같다.

인코딩을 한번더 해서 보내봤다.

디코딩이 자동으로 한번 되어도 아직 한번 인코딩된상태라 필터링을 우회한다. 그다음 다시 코드상으로 디코딩을하여 정상적으로 admin문자가 된다. 


성공!


'Wargame > webhacking.kr' 카테고리의 다른 글

webhacking.kr 28번  (0) 2018.01.12
webhacking.kr 27번  (0) 2018.01.12
webhacking.kr 25번  (0) 2018.01.11
webhacking.kr 24번  (0) 2018.01.11
webhacking.kr 23번  (0) 2018.01.11
블로그 이미지

JeonYoungSin

메모 기록용 공간

,

공지사항

글 보관함

달력

«   2025/01   »
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31

티스토리툴바