300x250
문제분류
난이도 : 하
Level 2번 문제에 들어와보니 ID와 PW값 입력 화면을 보여준다.
누가 봐도 계정값을 이용하라는 의미인것 같다.
Injection을 해야되는 건지 아니면 인증우회가 필요한건지
크롬을 통해 소스를 한번 살펴보자
힌트가 적혀있는데 ID와 PW가 동일하다는 뜻일까?
먼저 값을 아무렇게나 입력해보자
ID : 1234
PW : 1234
값을 동일하게 입력해보면
alert 메시지가 뜨는데
여기서 ID와 PW를 다르게 입력해보면
alert 메시지가 발생하지 않는다 즉
ID와 PW 값이 같다는 힌트와 메시지가 발생하는 순간에 인증우회를 해보자.
버프스위트를 통해 헤더를 확인해본 결과
자바스크립트 인증우회를 위한 문제인것같다.
아래 ID 와 PW값이 전달되는걸 볼 수 있는데
이 값을 변조해주자
ID와 PW 가 동일하다는 조건을 맞추면 되니 admin으로 맞춰줬다.
admin이 실제 ID와 PW의 값인건 아니다.
값을 Forward 해주면 Authkey(플래그)가 나오는데
역시 자바스크립트 인증우회 문제였다.
이상 끗!
300x250
댓글