목록분류 전체보기 (346)
R136A1
플래그를 그냥 빠르게 보여준다 function run(){ if(window.ActiveXObject){ try { return new ActiveXObject('Msxml2.XMLHTTP'); } catch (e) { try { return new ActiveXObject('Microsoft.XMLHTTP'); } catch (e) { return null; } } }else if(window.XMLHttpRequest){ return new XMLHttpRequest(); }else{ return null; } } x=run(); function answer(i){ x.open('GET','?m='+i,false); x.send(null); aview.innerHTML=x.responseText; i..
폼 확인해보면 input 태그의 name이 id → $_POST['id'] 로 전달됨
보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
lv : {$result['lv']}"; if($result['lv'] == "admin"){ mysqli_query($db,"delete from chall59"); solve(59); } echo "view-source"; exit(); } } if($_POST['id'] && isset($_POST['phone'])){ $_POST['id'] = addslashes($_POST['id']); $_POST['phone'] = addslashes($_POST['phone']); if(strlen($_POST['phone'])>=20) exit("Access Denied"); if(preg_match("/admin/i",$_POST..
일단 눌러보고 싶으니까 두 파일을 다운로드 받아보려 하면, test.txt는 되는데 flag.docx는 아래와 같이 뜬다. test.txt의 내용은 이게 끝 flag.docx의 download 코드를 살펴보면 무조건 javascript:alert로 연결되는 듯 하다. test.txt의 download 코드를 살펴보면 down 파라미터를 통해서 다운로드 받는 것 같다. dGVzdC50eHQ= 가 뭔가 base64 인코딩같으니 디코딩해보면 파일명인 것을 확인 가능 그렇다면 down 파라미터에 flag.docx 파일명을 인코딩한 것을 전달하면 다운되지 않을까? https://webhacking.kr/challenge/web-20/?down=ZmxhZy5kb2N4 Auth 페이지에서 인증하면 된다.