[Webhacking.kr] Challenge 23

alert(1)을 띄우면 되는 문제이다.

일단 문자열 아무거나 입력해서 어떤 방식으로 작동되는 건지 확인해 보자.

 

두 글자 이상 입력하면 no hack이라고 뜬다.

두 글자 이상의 문자를 검열하여 아예 아무런 코드도 작성하지 못하게 하려는 거 같다.

숫자나 기호는 무난하게 실행이 된다.

 

그럼 문자 사이마다 NULL 값을 넣어서 검열 우회를 해보는 건?

?code=<s%00c%00r%00i%00p%00t>a%00l%00e%00r%00t(1);</s%00c%00r%00i%00p%00t%00>

가능!