webhacking.kr 26번

webhacking.kr 26번 문제다. 점수는 100point. 들어가보니 깜깜하고 소스확인을 하면 될 것 같다. 100점짜리가 간단하다. 처음에 admin필터링을 우회한 후 urldecode된 값이 admin이면 성공이다. 그렇다면 처음에 admin을 urlincoding해서 보내주면 첫번째 필터링에서 우회하고 그다음 디코딩 되므로 자연스럽게 성공할 것이다. admin을 urlencoding 해서 보내봤다. 흠.. 왜실패하지.. 아 생각해보니 php는 값을 보내고 받을때 인코딩 디코딩을 한번씩 자체적으로 했었었다. 그러면 인코딩이 한번된 값을 보내면 자동으로 한번 디코딩을 해서 첫번째 필터링에서 걸려버린 것 같다. 인코딩을 한번더 해서 보내봤다. 디코딩이 자동으로 한번 되어도 아직 한번 인코딩된상태라 필터링을 우회한다. 그다음 다시 코드상으로 디코딩을하여 정상적으로 admin문자가 된다.  성공!