https://dreamhack.io/wargame/challenges/266
session
쿠키와 세션으로 인증 상태를 관리하는 간단한 로그인 서비스입니다. admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다. Reference Background: Cookie & Session
dreamhack.io
CTF 두 번째 문제다.
쿠키 문제와 마찬가지로 코드를 보고 로그인을 시도했다.
guest와 user 계정으로 로그인을 했다.
sessionid의 value값을 바꾸는건 알겠는데.. admin으로 했다가 welcome!만 뜨는 상황이 되었다.
main 코드에서 admin의 sessionid는 16진수로는 2자리로 표현된다. 00부터 FF까지 총 256가지의 경우의 수를 전체 탐색해야 한다. Burp Suite 프로그램의 Intruder 기능을 이용하면 된다고 한다.
.... 프로그램을 깔고 기능을 실행해보려고 했으나 계속 오류가 떴다.
뭔가 설정을 잘못한 것 같은데 뭘 잘못한건지 모르겠다.
푸는 방법을 모르겠어서 문제풀이를 보고 따라가려 했으나 따라가는 것조차 하지 못해서 많이 위축됐다.
CTF 공부를 열심히 해서 앞으로 많은 문제를 풀어나가야겠다고 다짐했다.
아는게 너무 없는 것 같다. 강의를 찾아봐야겠다..
Intruder 기능을 이용하면 sessionid length가 다른 값이 하나 나온다고 한다. 그것을 value값에 입력해주면 된다고 한다.
다시 시도하여 프로그램을 다운로드 받았다.
intruder로 값을 확인해본다.
Intruder는 웹 응용 프로그램에 대한 자동화된 사용자 지정 공격을 수행하기 위한 도구이다. 매우 유연하게 구성이 가능하며 응용 프로그램을 테스트할 때 발생하는 모든 종류의 작업을 자동화하는데 사용할 수 있다.
73에서 값이 다르다.
73을 value 값에 넣어준다!!
고양이 등장
'CTF 문제풀이' 카테고리의 다른 글
| 드림핵 phpreg (0) | 2024.05.08 |
|---|---|
| 드림핵 850번 Flying Chars (0) | 2024.05.01 |
| 드림핵 267번 devtools-sources (0) | 2024.04.03 |
| 드림핵 96번 carve party (0) | 2024.04.03 |
| 1주차_CTF_cookie (0) | 2024.03.27 |
