bento 2023. 10. 3. 17:20

webhacking.kr

old-26

 

https://webhacking.kr/challenge/js-2/

 

Challenge 15

 

webhacking.kr


preg_match 함수로 get방식에서 admin을 발견하면 no!

get방식으로 받은 id값을 디코딩해서 그 값이 admin이면 해결되는 듯 하다

 

PHP에선 get방식으로 전달 받은 인코딩된 값을 자동으로 디코딩하기에 두 번 인코딩한 값을 넣어주면 되겠다

 

인코딩 https://www.url-encode-decode

 

%2561%2564%256d%2569%256e 을 넣으면 디코딩 되어 %61%64%6d%69%6e 로 인식하기에 preg_match함수 통과

%61%64%6d%69%6e 은 urldecode를 통해 admin으로 인식되고 해결!

 

728x90