webhacking #23

webhacking #23.

script를 inject하는 문제이다.

그냥 입력해보면

역시나 안된다. no hack이라고 뜨는 것으로 보아 뭔가 필터링 되어있는 듯 하다.

문자를 하나 입력했을 때는 괜찮고,

2개 이상 입력했을 때는 어느 문자든 필터링이 된다.

숫자는 상관없다.

<script>alert(1);</script> 

이 문장을 문자가 2개 이상 연속 되지 않도록 써야한다.(특수문자는 가능)

<s_c_r_i_p_t>a_l_e_r_t(1);</s_c_r_i_p_t>

중간을 무언가로 채워주어야 하는데,

여러 공백문자 %20 %09 %0a %0b %0c %0d %a0 /**/ 를 시도해 본 후 %00을 시도하니 성공!

<s%00c%00r%00i%00p%00t>a%00l%00e%00r%00t(1);</s%00c%00r%00i%00p%00t>