webhacking.kr 23번 문제(old)
2019. 10. 10. 23:07ㆍWargame/webhacking.kr
23번 문제의 메인 페이지다.
아래의 글을 보니 1이라는 경고창(alert())을 띄우면 될것 같다.
그래서 바로 스크립트 문을 주입해 주었다.
<script>alert(1);</script>
아마도 주입한 저 문자열에서 필터링이 걸리는것 같다.
그래서 하나하나 다 조사해 보니 < , > , / 등은 걸리지 않는다.
하지만 여기서 저 특수문자들은 사용이 가능한데
아무 문자열을 2개이상 붙혀서 입력하면 no hack 이 뜨는것 같다.
결국 script 문자열을 사용하지 못한다는 말이다.
그래서 Null bite(%00) 을 글자 사이사이 마다 입력해보자.
<s%00c%00r%00i%00p%00t>a%00l%00e%00r%00t(1);</s%00c%00r%00i%00p%00t>
그렇다면 null 의 특성때문에 각각의 자리에서 문자열이 끊길 것이고 그렇기때문에 우회가 가능 할 것으로 보인다.
이처럼 1이라는 경고창이 뜨게 되었고
문제를 풀 수 있었다.
'Wargame > webhacking.kr' 카테고리의 다른 글
| webhacking.kr 26번 문제(old) (0) | 2019.10.15 |
|---|---|
| webhacking.kr 24번 문제(old) (0) | 2019.10.15 |
| webhacknig.kr(old) 18번 문제 (0) | 2019.10.10 |
| webhacking.kr(old) 17번 문제 (0) | 2019.10.09 |
| webhacking.kr(old) 16번 문제 (0) | 2019.10.09 |