300x250
들어가기 전 적는 글 아침부터 Criminal IP로 API에 대한 공부를 했다.
나름 공부는 했지만 포스팅할정도의 실력까지는 미치지 못해서 취약점 분석을 하며 느꼈던
해킹 코드에 대한 숙련도 부족을 채우기 위해 가장 기초적인 webhacking.kr old부터 다 해결하고
다음은 리뉴얼된 webhacking.kr 그다음 툴을 사용하는 PortSwigger 다음은 문제 자체가 조금 수준 높은
dreamhack.io에서 공부를 진행하려고 한다.
그런다음 API와 Python 심화 공부를 할듯
https://webhacking.kr/chall.php
>> Old - 01 : 가장 기초적인 쿠키 변조
Level 표시와 Sourece 표기 하이퍼링크가 있습니다.
<?php
if(!is_numeric($_COOKIE['user_lv'])) $_COOKIE['user_lv']=1;
if($_COOKIE['user_lv']>=4) $_COOKIE['user_lv']=1;
if($_COOKIE['user_lv']>3) solve(1);
echo "<br>level : {$_COOKIE['user_lv']}";
?>
- $_COOKIE['user_lv] 가 숫자형 데이터가 아닌 경우 1로 초기화
- $_COOKIE['user_lv] 가 4 이상일 경우 1로 초기화
- $_COOKIE['user_lv] 가 3 초과일 경우 solve();
정답은 $_COOKIE['user_lv] 값이 3 < $_COOKIE['user_lv] =< 4 사이이면 됩니다.
Chrome 에서 [F12]를 눌러 [Application] 탭의 [Cookies] 항목에서 쿠키값을 변조가능합니다
user_lv값을 3과 4사이의 값을 넣어주면 문제는 해결됩니다.
300x250
'정보보안 > Web Hacking' 카테고리의 다른 글
| Criminal IP API를 활용해서 취약점 정보 조회하기 (0) | 2023.02.08 |
|---|---|
| 종합 IP 정보 조회 툴- Criminal IP, 공격자 IP 조회, 취약 IP,도메인 조회 (0) | 2022.12.14 |
| 트위터 API를 활용한 정보 수집 시나리오 - Twitter API, Recon-ng (0) | 2022.11.30 |
| 특정 좌표에서 사진 정보를 수집하는 시나리오 - Recon-ng, Kali Linux, flickr (0) | 2022.11.28 |
| 툴을 활용한 도메인 취약점 진단 시나리오 - Recon-ng,nmap, Kali Linux (0) | 2022.11.26 |
댓글