모의해킹 문제풀이 - 2번(답 포함) - 써니나타스(SuNiNaTaS) // CTF, Web Hacking, 자바스크립트 인증우회

Level 2번 문제에 들어와보니 ID와 PW값 입력 화면을 보여준다.

누가 봐도 계정값을 이용하라는 의미인것 같다.

Injection을 해야되는 건지 아니면 인증우회가 필요한건지

크롬을 통해 소스를 한번 살펴보자

힌트가 적혀있는데 ID와 PW가 동일하다는 뜻일까?

먼저 값을 아무렇게나 입력해보자

ID : 1234

PW : 1234

값을 동일하게 입력해보면

alert 메시지가 뜨는데

여기서 ID와 PW를 다르게 입력해보면

alert 메시지가 발생하지 않는다 즉

ID와 PW 값이 같다는 힌트와 메시지가 발생하는 순간에 인증우회를 해보자.

버프스위트를 통해 헤더를 확인해본 결과

자바스크립트 인증우회를 위한 문제인것같다.

아래 ID 와 PW값이 전달되는걸 볼 수 있는데

이 값을 변조해주자

ID와 PW 가 동일하다는 조건을 맞추면 되니 admin으로 맞춰줬다.

admin이 실제 ID와 PW의 값인건 아니다.

값을 Forward 해주면 Authkey(플래그)가 나오는데

역시 자바스크립트 인증우회 문제였다.

이상 끗!

모의해킹 문제풀이 - 4번(답 포함) - 써니나타스(SuNiNaTaS) // CTF, Web Hacking, HTTP헤더 (0)	2022.01.28
모의해킹 문제풀이 - 3번(답 포함) - 써니나타스(SuNiNaTaS) // CTF, Web Hacking,관리자 페이지 (0)	2021.08.15
모의해킹 문제풀이 - 1번(답 포함) - 써니나타스(SuNiNaTaS) // CTF, Web Hacking, 암호 유추 (0)	2021.07.31
드림핵(DreamHack) - 커맨드 인젝션 -1, Command Injection-1(풀이) (0)	2021.07.21
[Clickjacking] Click Jacking 실습 예제 - 코드를 삽입하여 Click Jacking 유도하기 (PortSwigger, 웹 해킹) (2)	2020.08.26