Web,Mobile/Tech

Unicode upper/lower Trick

LimeLee 2019. 4. 8. 12:45

https://twitter.com/payloadartist/status/1061221910539718656

 

Arif Khan on Twitter

“Got an application that converts letters to upper case? Here's a small trick on how you can turn it into an XSS! #security #bugbounty #infosec #cybersecurity #bugbountytip #Exploit #hacking #Vulnerability”

twitter.com

 

 

문제 소스코드 대소문자 구분 admin 문자열 필터링, admin의 password에 flag 값 있음, 쿼리에 입려값 넣을 때 멀티바이트를 지원하는 mb_strtolower 함수로 문자열 변환

 

guest 입력 시

 

 

admin 입력시, 필터링

 

 

admİn 으로 클리어

 

우리가 알고 있는 그 알파벳

 

unicode 문자 Latin Capital Letter I with Dot Above

 

 

Latin Capital Letter I with Dot Above의 Lowercase Character = i(U+0069)

admin 필터링 때는 admİ(%C4%B0)n , mb_strtolower 함수를 거친 뒤 쿼리에 들어가는 문자열 admin

 

 

lowercase

https://www.compart.com/en/unicode/U+0130 

https://www.compart.com/en/unicode/U+212A

 

uppercase

https://www.compart.com/en/unicode/U+017F

https://www.compart.com/en/unicode/U+0131

'Web,Mobile > Tech' 카테고리의 다른 글

eval()과 Function 생성자의 Scope  (0) 2024.01.12
String, Number형 변수를 이용한 XSS Bypass  (0) 2023.08.08
JSFuck과 Function 객체 생성자를 이용한 XSS Bypass  (0) 2023.07.19
XSS Bypass in window.location  (0) 2022.05.03
Log4shell(CVE-2021-44228) + JNDI Injection  (0) 2021.12.17

'Web,Mobile/Tech'의 다른글

  • 현재글Unicode upper/lower Trick

관련글

댓글

티스토리툴바