웹/webhacking.kr
webhacking.kr 23번
최경환의 해킹공부
2021. 1. 20. 03:14

문제를 보면 <script>alert(1);</script>를 삽입하라고 되어 있습니다. 당연히 이 문구 그대로 입력하면 되지 않습니다.

그래서 어떤 문자가 필터링되는지 확인해보기 위해서 이것저것 넣어보며 삽질해보니 제 생각에는 script와 alert중가 중간에 다른 문자가 들어가도 공백이나 널값이 중간에 없으면 무조건 필터링 되는 것 같았습니다. 그래서 이전에 sfw6에서 배웠던 방법을 썼습니다. 일단 <s, >a등 특수문자와 영문자가 연속으로 입력되는 값은 필터링 되지 않았습니다. 그래서 연속으로 영문자가 입력되는 사이사이에 %00인 널값을 넣어주어 우회해서 문제를 해결했습니다.(필터링 문자가 있을 때 중간에 널값을 넣어서 우회하는 방법이 sfw6 문제와 유사합니다.)
<s%00c%00r%00i%00p%00t>a%00l%00e%00r%00t%00(1);</s%00c%00r%00i%00p%00t>

