-
[Webhacking] old-26기술/webhacking.kr 2022. 1. 1. 00:46
클릭하여 들어가면 아래와 같은 화면을 볼 수 있습니다!
할 수 있는 것이 소스코드 보는 것 밖에 없으니 확인해 보겠습니다.
Get method를 통해서 URL에 admin 값을 입력하면 될 것 같습니다.
id에 admin을 그대로 입력하니 preg_match 함수에 걸려 필터링이 됐네요!
hex형태 아스키코드로 바꿔 입력하도록 하겠습니다!
ex) 0x61 = 10진수 97 = 아스키코드 'a'
같은 응답인 것 보니(no) preg_match 함수를 만나기 전에 디코딩이 되는 것 같습니다.
'%61%64%6D%69%6E'를 한 번 더 인코딩 해서 보내보겠습니다.
https://www.convertstring.com/ko/EncodeDecode/UrlEncode 사이트를 이용했습니다!
%2561%2564%256D%2569%256E를 입력하니 성공했습니다!
(%를 인코딩하면 %25가 나옵니다.)
'기술 > webhacking.kr' 카테고리의 다른 글
[Webhacking] old-32 (0) 2022.03.11 [Webhacking] old-54 (0) 2022.02.27 [Webhacking] old-16 (0) 2022.02.27 [Webhacking] old-14 (0) 2021.12.31 [Webhacking] old-6 (0) 2021.12.30