<script>alert(1);</script>를 넣어야 한다.
일단 아무거나 입력해 봤는데 딱히 안된다.
어떤 식으로 필터링이 되는지 전혀 알 수 있는 방법이 없어서 이전에 배웠던 xss필터링 우회 기법을 여러개 사용해봤지만 먹히는 것이 없었다.(치환우회, url 인코딩 등.. 전부 다 실패)
근데 뭘 입력해도 no hack이라고 떴는데 어쩌다가 그냥 d 한글자만 입력하니까
no hack이 안 뜬다.
한글자만 입력하면 필터링에 안 걸리는 거 같다.
근데 저 script 태그를 어떻게 한 글자로 표현할지 고민하다
띄어쓰기를 넣어서 입력했더니 또 필터링에 안걸린다.
그래서 문자가 연속하면 안될거 같아서
< s c r i p t > a l e r t ( 1 ) ; < / s c r i p t > 이렇게 다 띄어서 입력해봤다.
뜨긴 뜨는데 풀었다고 안 뜬다.
그래서 띄어쓰기 대신에 null 문자를 넣어봤다.
<s%00c%00r%00i%00p%00t>a%00l%00e%00r%00t(1);</s%00c%00r%00i%00p%00t>
null문자를 url 인코딩한 %00을 문자 사이에 넣어서 url에 입력해주었더니
이렇게 실행이 되면서 풀렸다.
'웹해킹 > webhacking.kr' 카테고리의 다른 글
| old-25 롸업(webhacking.kr) (0) | 2023.12.07 |
|---|---|
| old-24 롸업(webhacking.kr) (0) | 2023.12.06 |
| old-20 롸업(webhacking.kr) (0) | 2023.12.05 |
| old-19 롸업(webhacking.kr) (0) | 2023.12.05 |
| old-17 롸업(webhacking.kr) (0) | 2023.12.05 |
