15점짜리 웹해킹 문제
문제 설명을 읽어보면 Top score를 얻기 위한 방법을 찾아보라고 한다.
반응형
문제 제목에 나와있는 POST는
HTTP 요청 패킷에서 사용하는 메서드의 종류 중 하나이다.
POST 메서드를 사용하게 되면 서버로 데이터를 전달할 수 있다.
흔히 보는 로그인 창에서 로그인을 할때, 게시판에 게시글을 작성할때 POST 메서드를 사용한다.
문제페이지에 접속하면 이런 화면이 나온다.
아래있는 버튼을 클릭해서 999999 점을 넘으면 되는 문제인듯 하다.
Give a try! 버튼을 누르면 위 처럼 랜덤한 숫자가 생성된다.
999999가 넘는 숫자가 나올때까지 버튼을 누르라는 의도인것 같다.
Burp Suite 도구를 사용해서 Give a try! 버튼을 눌렀을때 웹 요청 패킷을 살펴본다.
(도구 다운로드 : https://hackingstudypad.tistory.com/72)
POST 메소드를 사용하여 데이터를 보내고 있는것이 보인다.
아래쪽을 보면 score 변수에 449820 이라는 값을 넣어서 전달하고 있다.
이 값을 999999 보다 큰 값으로 바꿔준다.
바꾼다음 위에있는 Forward 버튼을 눌러 요청 패킷을 날려주면
내가 입력한 score 값이 전달되어 플래그가 출력된다.
반응형
'워게임 > Root Me' 카테고리의 다른 글
| [Root Me] HTTP - Verb tampering - 웹해킹 / 패킷변조 (91) | 2022.04.25 |
|---|---|
| [Root Me] HTTP - Improper redicect - 웹해킹 (82) | 2022.04.22 |
| [Root Me] HTTP - Headers - 웹해킹 / 헤더변조 (36) | 2022.04.21 |
| [Root Me] HTTP - Directroy indexing - 웹해킹 (44) | 2022.04.17 |
| [Root Me] Backup file - 웹해킹 / Vim (44) | 2022.04.13 |