웹해킹 26번1 webhacking.kr 26번 26번 문제를 보면 다음과 같이 index.phps를 볼 수 있다. index.phps를 열어보면, 다음과 같은 코드를 볼 수 있다.$_GET[id]가 admin일 경우 solve()를 호출하지만, admin이라는 문자열을 필터링한다. 따라서 admin을 urlencode하여 전송하면 된다. 이 때, urldecode() 를 추가적으로 호출하기 때문에 admin을 인코딩한 %61%64%6d%69%6e를 입력하면 다음과 같이 admin으로 바뀌어 no!가 출력된 것을 볼 수 있다. 따라서 %61%64%6d%69%6e를 한번 더 인코딩한%2561%2564%256d%2569%256e를 입력하면 된다. 2019. 1. 29. 이전 1 다음