문제에 접속하면 다음과 같은 입력 폼과 메시지가 나타난다.
<script>alert(1)</script>을 입력하니 no hack이 뜬다. code 파라미터에 들어가므로 code값을 수정하며 테스트 해봤다.
키워드들이 필터링 되나 싶어 테스트 해보니 no hack이 뜨긴했지만 다른 영문자도 no hack이 떴다.
이렇게 연속된 영문자일 경우 no hack이 뜬다. 다른 특수기호나 sc 모두 따로 쓸 경우, 띄어 쓸경우 잘 출력이 된다.
문자열을 띄워서 입력하니 저렇게 나온다. 생각해보니 공백도 문자이기 때문에 alert와 a l e r t는 다르다..
널값을 넣어 문자를 하나하나 인식하도록 했다.
<s%00c%00r%00i%00p%00t>a%00l%00e%00r%00t(1;)</s%00c%00r%00i%00p%00t>
풀고나니 쉽네..
'Web Hacking > Webhacking.kr' 카테고리의 다른 글
| [Webhacking.kr] old-21 write up (0) | 2024.03.01 |
|---|---|
| [Webhacking.kr] old-27 write up (0) | 2024.03.01 |
| [Webhacking.kr] old-25 write up (2) | 2024.02.27 |
| [Webhacking.kr] old-38 write up (2) | 2024.02.26 |
| [Webhacking.kr] old-24 write up (0) | 2024.02.26 |
