23번 풀이입니다 :D
미션이 부여가 되었네요!
<script>alert(1);</script>를 넣으라고 합니다 :D
처음에 <가 <로 되어잇길래 조금 긴시간 삽질을 해버렸습니다.. 😒😒
넣어야하는 구문 그대로 한번 넣어서 반응을 보았습니다!
넣으니 "no hack"이라는 문자열을 뱉어내는군요!
그럼 보통은 특수문자를 필터링하니 특수문자를 먼저 넣어보았습니다💨
출력이 되는걸 보아 특수문자는 필터링하지 않는군요?!
그럼 문자를 넣어보겠습니다!
넣어본 결과 1개의 문자는 출력이 되나 문자열로 들어가게 되면 필터링을 하는걸로 보입니다!
그리고 헥스값으로 아스키코드를 사용할 수 있는 걸 확인을 했죠😎
1. 문자열 출력
2. 특수문자 사용 가능
3. 헥스값 사용 가능
그래서 온갖 삽질을 다하다가 아스키코드표에 %00이 NULL인 것을 보고
문자 사이사이에 넣으면 문자열로 인식이 안되지 않을까 싶더군요❓
그래서 넣어보니 1이 출력이 되고 <script>alert(1);</script>을 주입할 수 있게 되었습니다!!
XSS 문자열 필터 우회방법을 아는 좋은 문제였습니다!!😆
'CTF > Webhacking.kr' 카테고리의 다른 글
| Old - 42 (score:200) (0) | 2020.10.08 |
|---|---|
| Old - 36 (score:200) (0) | 2020.10.07 |
| Old - 20 (score:200) (0) | 2020.04.07 |
| Old - 1 (score:200) (0) | 2020.04.02 |
| Old - 47 (score:150) (0) | 2020.03.31 |