[webhacking.kr] Level 23

[webhacking.kr] Level 23

이번 문제는 무엇을 해야할 지가 주어져있었다.

다른 문제와 비슷할 것 같아서 index.phps로 들어가봤지만 소스코드가 없었다.

어떤 것이 필터링되있는지 모르는 상태에서 해결해야하는 문제 같았다.

webhacking.kr을 풀면서 처음으로 소스코드가 없는 상태로 하는 문제라 재미있을 것 같았다.

XSS로 삽입해야할 문자열을 넣어보니 "no hack"이라는 message와 함께 실패함을 알 수 있었다.

어떤 것이 필터링되있는지 확인해보기 위해 여러가지 시도를 해보았다.

이것 외에도 글자를 끊어서 여러가지를 시도해보았다. 필터링 되있는 방식은 모르겠지만 왠만한 단어들은 다 막혀있었다.

스크린샷에서는 script만 해보았지만 alert도 마찬가지로 실패했다.

대문자로도 시도해보았지만 안되는 것을 볼 수 있었다.

아스키코드로 여러가지 시도를 해보다가 방법을 찾았다.

처음에는 %%2561로 우회보려고 했지만 그대로 %61이 출력되는 것을 보고 이 방법으로 해결하지 못할 것 같았다.

그래서 혹시하고 NULL(%00)문자를 넣어서 해보니 alert에 걸려있던 필터링을 우회할 수 있었다.

NULL문자를 이용하여 저 문자열을 넣었더니 문제를 해결할 수 있었다.

-

**************     Answer & Flag     **************

<sciprt> alert(1); <script>를 null문자를 삽입하여 넣었다.

필터링이 어떻게 되있는지 모르겠지만 중간중간 필터링이 안되는 부분이 있었다.

거의 모든 부분에 null문자를 넣어 통과할 수 있었다.

시작할 때 처음 접해보는 방식이라 재밌지만 어려울 것 같다는 생각이 들었었는데 의외로 쉽게 해결할 수

있었던 것 같다.