id를 URL decoding한 결과가 admin이어야 한다. URL에서 서버로 전달될 때 한 번, 코드에서 한 번 디코딩되기 때문에 admin을 두 번 URL encoding해서 넣어주면 된다.
https://webhacking.kr/challenge/web-11/?id=%25%36%31%25%36%34%25%36%64%25%36%39%25%36%65로 접속하면 문제가 풀린다.
728x90
h0meb0dy
