Challenge 26
소스를 분석해보러 가보자.
GET 형식으로 id 값을 넘기면 거기에 admin 만 들어있으면
풀리는 문제......
근대 admin을 막고있다... 하지만 !!!
urldecode 를 한번해주는 것으로 보아 url형식으로 encode 해서 보내면된다...!!
그래서 처음에는
%61%64%6d%69%6e --> 안됨
% 자체를 다시 url 인코딩해서 %2561%2564%256d%2569%256e 를 넘김
이유는 코드에 디코딩을 한번 하는 함수가 있기에 %25 는 % 로 브라우저에서 변경되고
다시 코드에서 %61 이 입력되어 = a 로 변환 즉 admin 이 들어감.
클리어!!
'WEB_Security(실습) > WebHacking' 카테고리의 다른 글
| WebHacking : Challenge 24 (0) | 2017.07.14 |
|---|---|
| WebHacking : Challenge 23 (0) | 2017.07.10 |
| WebHacking : Challenge 20 (0) | 2017.07.10 |
| WebHacking : Challenge 17 (0) | 2017.07.10 |
| WebHacking : Challenge 16 (0) | 2017.07.10 |
댓글