728x90

[문제]

https://webhacking.kr/challenge/web-11/

 

Challenge 26

 

webhacking.kr

[문제 풀이]

  • 먼저 코드를 분석해 보자!
    • 이 코드는 preg_match를 사용하여 "admin"이라는 문자열을 필터링한다,
    • id값을  url decode 하고 그 값이 "admin"이면 문제가 풀리는 거 같다.

 

https://www.freecodecamp.org/news/url-encoded-characters-reference/

 

HTML URL Encoded Characters Reference

A URL is an address for a website. Just like postal addresses have to follow a specific format to be understood by the postman, URLS have to follow a format to be understood and get you to the right location. There are only certain characters that ar...

www.freecodecamp.org

  • 그래서, "admin"을 먼저 url encode를 해봤다. 
  • 위 사이트를 참고해 "admin"값을 encode 했더니 %61%64%6D%69%6E 나왔다.

  • encode 한 값을 url에 입력을 했더니 자동으로 admin으로 decode를 해서 들어가서 문제가 해결이 안 됐다.

https://www.convertstring.com/ko/EncodeDecode/UrlEncode#google_vignette

 

URL 인코딩 - 온라인 URL 인코더

 

www.convertstring.com

  • 그래서 위 사이트를 통해 encode 한 값을 한번 더 encoding 했다.

  • 그 결과, %2561%2564%256D%2569%256E 값을 획득할 수 있었고 이 값을 다시 url에 입력해 주었더니 문제를 해결할 수 있었다.

'보안 > CTF' 카테고리의 다른 글

[웹해킹] | [드림핵]: baby-Case  (0) 2025.01.11
[Webhacking.kr] old-18 write-up  (0) 2025.01.05
[웹해킹] | [드림핵]-Broken Buffalo Wings  (0) 2025.01.01
[Webhacking.kr] old-16 write-up  (0) 2024.12.29
[Webhacking.kr] old-15 write-up  (0) 2024.12.29

+ Recent posts

티스토리툴바