[Webhacking.kr] Challenge 23

Challenge 23

23번 문제 : XSS(Cross-Site-Scripting) 문제로 필터링되어 있는 문자열을 우회하여 스크립트를 삽입하여야 한다.

문제 화면이다.

<script>alert(1);</script> 라는 스크립트를 입력하는 것이 목표이다.

<script>alert(1);</script>를 그대로 입력해 보았다.

no hack를 출력하였다.

확인해보니 script가 필터링 되어 있었다.

<s> : 입력가능  <sc> : no hack  <s c r i p t> : 입력가능

%0a, %0d의 경우는 입력이 가능하나 스크립트가 재대로 실행되지 않았다.
그래서 NULL을 입력해보았다.

NULL을 URL인코딩하면 %00이다.
공백대신 널을 입력해본다.

<s c r i p t > -> URL 인코딩 -> <s%20c%20r%20i%20p%20t>  <script> -> URL 인코딩 -> <s%00c%00r%00i%00p%00t>

+(%20) 대신 %00을 입력하니 스크립트가 실행되었다.