[6주차] WEBHACKING.KR old - 23

https://webhacking.kr/challenge/bonus-3/

Challenge 23

위 링크에 들어가면 이렇게 아래 사진과 같이 뜬다.

abc와 같이 문자들을 입력하면 아래 no hack이 뜨고

숫자를 입력하면 숫자가 뜬다

하지만 문자를 하나만 입력하면 이렇게 뜬다. (a를 입력함)

 

아래 입력되어 있는 것을 보니 <script> alert(1); </script>를 띄어쓰기를 이용해 실행한다면 될 것 같다. url encording에 해당하는 공백 문자는 %00이기에 글 사이사이에 %00를 넣어주면 될 것 같다.

<s%00c%00r%00i%00p%00t>a%00l%00e%00r%00t(1);</s%00c%00r%00i%00p%00t>

위와 같이 입력하면 보통 풀리는데 아래와 같이 떠서 왜 그런지 찾아보니 파라미터에 입력해야 한다는 것을 알았다.

파라미터에 입력하고 문제를 풀었다.