이번 대회에서 중급 난이도로 분류되었던 웹해킹 문제이다.
개인적으로 나는 이 문제가 쉬움으로 분류되어야 한다고 생각한다.
문제 설명에 강아지들의 사진이 나오고
이 강아지들 중 하나가 웹서버에 들어왔는데, 누군지 알아낼 수 있냐고 물어본다.
나는 처음봤는데 꽤 유명한 TV 시리즈였나보다.
45.79.204.27 로 주어진 문제페이지로 접속해보면
이렇게 0101로 이루어진 해커 그림과
가운데 Enter userID, 그리고 로그인 버튼만 있는 페이지가 나오게 된다.
Enter userID 라고 적혀는 있지만
그 어디에도 사용자의 입력값을 받는 부분은 없다.
혹시 몰라서 해당 페이지의 Cookie값을 확인해 봤다.
쿠키라는것은 클라이언트의 상태 정보를 저장하는 특정한 문자열을 말한다.
특히나 네이버나 구글같은 웹사이트에 로그인을 하면
로그인한 정보를 저장하기 위해서 쿠키라는 값을 생성하게 된다.
참고로 쿠키값을 확인한 저 프로그램은 크롬 확장프로그램 중 하나로
https://chrome.google.com/webstore/search/editthiscookie?hl=ko 이곳에서 설치할 수 있다.
문제페이지에서 쿠키값은 userID에 whoami 라는 값이 저장된것을 볼 수 있다.
맨 처음에 강아지들 중 하나가 웹 서버에 접속했다고 했으므로
얘네들의 이름을 알아봤다.
구글에 검색해보니 저 강아지들의 이름은
B-Dawg, Buddha, Budderball, Mudbud, Rosebud 였다.
맨 처음거부터 하나씩 쿠키값으로 넣어보았다.
쿠키값을 수정할 때는 ModHeader 라는 크롬 확장프로그램을 사용했다.
https://chrome.google.com/webstore/search/modheader?hl=ko 이곳에서 다운로드 받을 수 있다.
Modheader에서 Request header의 Cookie를 userID=Mudbud 라고 값을 입력해주면
문제페이지 화면이 바뀌면서 플래그가 나오게 된다.
'CTF > 웹해킹' 카테고리의 다른 글
[Space Heroes CTF] Mysterious Broadcast - 웹해킹 / Requests / Binary (24) | 2022.04.09 |
---|---|
[Space Heroes CTF] Flag in Space - 웹해킹 / Requests / BeautifulSoup (28) | 2022.04.09 |
[Space Heroes CTF] R2D2 - 웹해킹 / robots.txt (48) | 2022.04.07 |
[Space Heroes CTF] Space Traveler - 웹해킹 / 자바스크립트 (29) | 2022.04.06 |
[angstromCTF] Consolation - 웹해킹 / 자바스크립트 (46) | 2022.03.17 |