728x90
webhacing.kr 26(old)
webhacing.kr 26번 문제사이트에 접속해봅시다.
사이트에 들어가면 덩그러니 view-source만 나타나 있습니다.
한번 소스를 살펴봅시다
소스를 살펴보니
GET방식으로 id를 받아와
첫번쨰 if문에서 id의 값이 admin이라면 no! 라는 문구를 출력해주는 것으로 보여집니다.
그뒤를 보면 GET방식으로 받아온id값을 urldecode하여 그 값이
admin이라면 문제가 풀리는 것으로 보여집니다.
한번 admin이란 값을 urlencode하여 GET방식으로 부여하여 보도록 하겠습니다.
부여하여 보면
틀렷다는 문구가 나타납니다.
곰곰히 생각해보고 코드를 살펴보니
url인코딩을 한값을 GET방식으로 주면 그 순간에 인코딩 한값이 자동으로 한번 디코딩되어 부여가 된다는 점을 알게되었습니다.
그렇다면 두번째 if문에게 까지 admin값을 부여해려면 인코딩을 두번하여 값을 부여해
주어야 한다는 점을 깨닫게 되었습니다.
admin값을 인코딩을 두번하여 다시 GET방식으로 부여하여 주면
webhacing.kr 26(old)성공~!
728x90
'웹해킹 > Webhacking.kr' 카테고리의 다른 글
Webhacking.kr 32번(old) 풀이 (0) | 2020.12.22 |
---|---|
Webhacking.kr 27번(old) 풀이 (0) | 2020.06.01 |
Webhacking.kr 25번(old) 풀이 (0) | 2020.06.01 |
Webhacking.kr 24번(old) 풀이 (0) | 2020.05.31 |
Webhacking.kr 23번(old) 풀이 (0) | 2020.05.31 |