webhacking.kr 26번

id 값을 가져와서 그게 admin 이면 실패, 근데 urldecode 해서 나온 값이 admin 이면 성공 인 것 같다

 

인코딩해보니 %61%64%6d%69%6e 가 나오더라

 

id 값을 어떻게 바꾸는데욤,, 지난 번 sql injection 으로 고생한 기억을 떠올려 주소 뒤에 ?를 붙인뒤 id=%61%64%6d%69%6e을 해주니 no가 나와!!

 

뭔가 생각해보니 자동으로 디코딩되어 id 값에 admin이 들어가는 것 같았다.

 

 

 

그래서 한번 더 인코딩한 값 입력 %2561%2564%256d%2569%256e 을 입력!

 

해결!