[DreamHack.io]_(1)_Cookie

 

DreamHack.io 의 웹해킹 첫번째 문제 "Cookie" 를 풀어보자. 

 

Cookie는 간단하게 설명하면.. 

  "사용자의 로컬 컴퓨터에 파일 또는 메모리에 저장하는 작은 기록 정보 파일" 

 

{즉, 로그인한 사용자의 로컬 컴퓨터에 저장을 한다}

 

app.py를 먼저 확인해보자

# app.py
# ========================================================

users = {
    'guest': 'guest',
    'admin': FLAG
}

 

로그인 할 수 있는 계정은 "guest", 와 "admin" 계정이 있는 것으로 확인되니까 guest 계정으로 먼저 로그인을 시도해보았다. 

 

로그인 했더니, "Hello guest, you are not admin" 이라는 문구가 출력되었다. 

 

우리는 지금까지의 2개의 힌트를 얻었다. 

 

 <1>. Cookie 관련된 문제라는 점

 <2>. guest 계정과 admin 계정이 있다는 점 

 

2번의 Guest 계정은 로그인 시도했지만, admin 계정은 비밀번호를 모르기 때문에 할 수 없고

그럼 이제 남은 1번에 대해 Cookie를 조회해보면 될 것 같다. 

 

Chrome 혹은 Edge의 Console 창에 "document.cookie" 를 입력해서 확인해도 되고,

Chrome의 경우 "Application -> Cookies ->" 로 가보면 웹페이지에 존재하는 Cookie 값을 알 수 있다. 

 

다만, 두개의 차이가 있다. 

 Console의 경우 cookie 값을 조회만 할 수 있고, 

 Application 에서는 cookie 값을 변경 할 수 있다 는 것이다. 

 

그러기 때문에 이제, Application 에서 Cookie 값 "guest" -> "admin" 으로 변경하고 새로고침을 해보았다. 

 

플래그 찾기 성공!

 

 다음 문제 :  Session-basic 

 

P.S> 모의해킹 자체를 처음하다보니 제가 알고있는게 많이 적어서,,, 혹시나 제가 생각했던게 잘못되었을 경우 언제든 피드백 부탁드립니다.