Webhacking_26 문제풀이

view_source를 클릭해서 소스코드를 확인하자.

id의 값이 admin와 매치했을 때 아니고 urldecode를 한 결과가 admin과 같아야한다고 이해했다.

 

이 표를 참고해서 admin을 URL-encode로 표현하자. -> %61%64%6d%69%6e이다. 

이 값을 활용해서 ?id = 에 넣어줬더니 

가 출력되었다. 그 이유를 구글링했더니

 

웹 서버와 브라우저 간의 통신에서, 브라우저는 form에서 입력받은 데이터를 자동으로 인코딩한 값을 PHP 서버로 전송하고, PHP는 전달받은 인코딩된 값을 자동으로 디코딩합니다.

출처: https://s0ng.tistory.com/entry/webhackingkr-웹해킹kr-old-26번-100 [S0NG의 정보보안 블로그]

 

->즉 %61%64%6d%69%6e 이 값이 자동으로 디코딩되어 admin으로 해석된다는 뜻이다. 그럼 이 값을 다시 한 번 인코딩하면 해결될 것 같다. : %2561%2564%256d%2569%256e

이 값으로 다시 ?id = 에 넣어주면

쨘 clear