티스토리 뷰
23번 문제는 xss로 악성 스크립트가 담긴 글을 올려 이 글을 읽으면 악성코드가 심어지도록 하는 해킹기법이다.
그래서 <script>alert(1);</script>를 올리면 되므로 제출을 하였더니 no hack이 떴다
.
소스를 보면 get방식을 가지고 alert나 script를 쳐도 다 no hack으로 나온다. 그래서 1이나 a를 쳐봤는데 그대로 나오는 것이다 또한 s c r i p t로 띄어서 쓰면 그대로 나온다. 그럼 이 문자들을 연결해서 만들어주면 될 것 같다. url에서 code=에 <script>alert(1);</scirpt>인데 문자 사이에 아무것도 들어가면 안되므로 null을 url인코딩 시키면 <s%00c%00r%00i%00p%00t>a%00l%00e%00r%00t(1);</s%00c%00r%00i%00p%00t>로 적어준다.
'webhacking' 카테고리의 다른 글
| 웹해킹 문제 11번 (0) | 2017.12.04 |
|---|---|
| 웹해킹 문제 25번 (0) | 2017.12.04 |
| 웹해킹 문제 42번 (0) | 2017.11.06 |
| 웹해킹 문제 26번 (0) | 2017.11.06 |
| 웹해킹 문제 24번 (0) | 2017.11.05 |