CTF/웹해킹
[Space Heroes CTF] Bank-of-Knowhere - 웹해킹 / Burp Suite
SecurityMan
2023. 5. 2. 11:00
재밌는 웹 해킹 문제
그루트가 inner circle 에 들어가려고 하는데
2,000A 라는 돈이 은행 계좌에 필요하다고 한다.
반응형
문제페이지에 들어가면 이런 화면이 나온다.
인터넷 뱅킹처럼 생겼다.
그루트의 잔액은 850인데
다른 사람들의 계좌에서 돈을 빼와서 2,000 으로 만들어야 한다.
한번 돈을 보내봤다.
Rocket 에게 1만큼 보냈더니
그루트의 계좌에서 1이 줄어들고 Rocket 의 계좌에서 1이 늘어났다.
Burp Suite 를 이용해 돈을 보낼때 패킷을 확인해봤다.
sender 에 Groot,
receiver 에 Rocket,
amount 에 보내는 금액이 들어가서 요청 패킷이 전달된다.
sender 와 receiver 를 바꿔서 패킷을 보내봤더니
자기 자신에게 송금할 수 없다는 에러메시지가 나왔다.
몇번 시도를 해보다가 알아낸것이
sender 에 Groot 가 아닌 다른 사람을 쓰고
receiver 를 두번 쓴다음
두번째 receiver 에 Groot 를 써주면 에러가 나지 않는 것이었다.
로켓한텐 미안하지만
로켓의 계좌에서 2000 달러를 빼와서 그루트에게 전송해주고
/admin.php 경로에 들어가 봤더니
FLEX 하는 그루트가 플래그를 알려줬다.
반응형