2023. 11. 11. 23:52ㆍSWLUG/web hacking
Challenge 23
webhacking.kr
첫번째 문제이다.
📌 내풀이
링크에 접속했을 때 위와 같은 화면이 떴다.
swlug를 기입해보았다.
Your mission is to inject <script>alert(1);</script>
스크립트를 활용해서 문제를 풀도록 의도된 것일까?
이부분을 활용해서 문제를 푸는 것인지 시도를 해봐야겠다.
시도해봤는데 아니었다.
개발자도구를 들어가서 html을 확인해봤다.
?code=이런 형태가 get이라는 방법인 것 같았다.
1을 입력해서 제출해보니 get형태가 뜨고 숫자가 그대로 출력된다.
글자가 길어지니까 no hack 이 뜬다.
글이 길어지지 않게 하면서 script를 주입하는 방법을 고민해봤다. 이 이후는 조금 찾아보았다.
우리는 script를 주입해야하는데, 그대로 주입하면, no hack으로 뜨니까 우회해서 주입할 방법을 찾아야하고, 그게 null값을 입력하는 것 같았다.
즉 길이 길어지지않게 공복을 유지할 방법이 null값인 것이다.
null값을 입력하라고 해서 %00을 모두 붙혔더니 no hack이라는 알림이 사라졌다. submit을 제출했더니 아래처럼 값을 그대로 출력했다.
근데 script만 뜨는게 아니고 눌값이 그대로 뜨는게 제출에 넣어서 그러는 것 같아서 url에 넣어야겠다.
이걸 확인해보니까 이제 어떻게 풀어야할지가 보였다.
방법을 알고나니까 문제푸는 건 수월했다.
이런식으로 주입하는 방법도 있다는 걸 기억해둬야겠다.
첫번째 문제 끝.
[ 참고 학습 자료 ]
[Webhacking.kr] Challenge(old) 23번 문제 (tistory.com)
[Webhacking.kr] Challenge(old) 23번 문제
문제 페이지는 해당 페이지와 같다. 입력창이 존재하고 문구를 보면, 이 문제는 를 인젝션하면 풀리는 문제라는 것을 알 수 있다. 를 입력창에 입력하면 no hack 이라는 문구가 출력된다. URL 을 확
whitehatstory.tistory.com
'SWLUG > web hacking' 카테고리의 다른 글
| 6주차_Webhacking 과제3 : dreamhack [csrf-1] (0) | 2023.11.12 |
|---|---|
| 6주차_Webhacking 과제2 : dreamhack [XSS Filtering Bypass] (0) | 2023.11.12 |
| 5주차_Webhacking 과제4 : dreamhack [XSS-2] (0) | 2023.11.05 |
| 5주차_Webhacking 과제2 : dreamhack [xss-1] (0) | 2023.11.05 |
| 5주차_Webhacking 과제3 : XSS game [level 1-5] (0) | 2023.11.05 |