본문 바로가기
정보보안/Web Hacking

cookie를 통한 웹해킹 - DreamHack예제(cookie)

by 우동이 2020. 7. 25.
300x250

dreamhack-cookie

Dreamhack의 cookie 문제입니다.

Web hacking 카테고리의 워게임 문제 중 

가장 쉬운 문제니 입문자들이 한번 풀어보면 좋을 듯합니다.


Cookie란

  • 사용자의 정보를 로컬 파일에 정보로 남겨놓은 파일을 일컬어 부른다

 

dreamhack cookie
/index

Cookie 문제에 접속하면 위 사이트가 나옵니다.

Cookie 문제라고 대놓고 나와있으니

쿠키값을 변조하는 문제일 가능성이 농후합니다.

 

먼저 문제와 함께 동봉된 코드를 살펴보도록 합시다.

cookie - app.py

 

Python의 웹 프레임워크인 Flask기반으로 작성되었으며

어느 정도는 Flask 문법을 알아야 해석이 편할 것 같습니다.

 

현재 존재하는 계정은 11번째 줄의 guest 계정과

암호가 FLAG로 래핑 된 admin계정 두 가지가 존재합니다.

 

먼저 guest 계정으로 로그인해봅시다.

 

/login

로그인 폼에서 [guest : guest]

를 입력해 로그인합니다.

chrome - [F12] 개발자도구

guest계정으로 로그인하고 

chrome의 개발자 도구(F12)로 확인해본 결과

guest 계정의 쿠키가 생성되었음을 확인할 수 있습니다.

 

 

개발자도구 - Application - Cookies

guest계정의 쿠키의 값(value)을 

admin으로 변경해봅시다.

 

 

flag.py

guest 계정의 쿠키 값(value)을 admin으로 수정하자

admin 계정으로 로그인되며

flag가 출력되었습니다.

 

web hacking의 가장 기초적인 원리와

쿠키 값 변조에 대한 공부를 할 수 있었습니다.

 

또한 chrome에서 제공하는 개발자 도구는 참 심플하고 강력하다는 생각을 하게 됩니다.

이상 감사합니다.

 

300x250

댓글