Wargame/webhacking.kr
old - 26
bento
2023. 10. 3. 17:20
webhacking.kr
old-26
https://webhacking.kr/challenge/js-2/
Challenge 15
webhacking.kr
preg_match 함수로 get방식에서 admin을 발견하면 no!
get방식으로 받은 id값을 디코딩해서 그 값이 admin이면 해결되는 듯 하다
PHP에선 get방식으로 전달 받은 인코딩된 값을 자동으로 디코딩하기에 두 번 인코딩한 값을 넣어주면 되겠다
인코딩 https://www.url-encode-decode
%2561%2564%256d%2569%256e 을 넣으면 디코딩 되어 %61%64%6d%69%6e 로 인식하기에 preg_match함수 통과
%61%64%6d%69%6e 은 urldecode를 통해 admin으로 인식되고 해결!
728x90