DreamHack.io 의 웹해킹 첫번째 문제 "Cookie" 를 풀어보자.
Cookie는 간단하게 설명하면..
"사용자의 로컬 컴퓨터에 파일 또는 메모리에 저장하는 작은 기록 정보 파일"
{즉, 로그인한 사용자의 로컬 컴퓨터에 저장을 한다}
app.py를 먼저 확인해보자
# app.py
# ========================================================
users = {
'guest': 'guest',
'admin': FLAG
}
로그인 할 수 있는 계정은 "guest", 와 "admin" 계정이 있는 것으로 확인되니까 guest 계정으로 먼저 로그인을 시도해보았다.
로그인 했더니, "Hello guest, you are not admin" 이라는 문구가 출력되었다.
우리는 지금까지의 2개의 힌트를 얻었다.
<1>. Cookie 관련된 문제라는 점
<2>. guest 계정과 admin 계정이 있다는 점
2번의 Guest 계정은 로그인 시도했지만, admin 계정은 비밀번호를 모르기 때문에 할 수 없고
그럼 이제 남은 1번에 대해 Cookie를 조회해보면 될 것 같다.
Chrome 혹은 Edge의 Console 창에 "document.cookie" 를 입력해서 확인해도 되고,
Chrome의 경우 "Application -> Cookies ->" 로 가보면 웹페이지에 존재하는 Cookie 값을 알 수 있다.
다만, 두개의 차이가 있다.
Console의 경우 cookie 값을 조회만 할 수 있고,
Application 에서는 cookie 값을 변경 할 수 있다 는 것이다.
그러기 때문에 이제, Application 에서 Cookie 값 "guest" -> "admin" 으로 변경하고 새로고침을 해보았다.
플래그 찾기 성공!
다음 문제 : Session-basic
P.S> 모의해킹 자체를 처음하다보니 제가 알고있는게 많이 적어서,,, 혹시나 제가 생각했던게 잘못되었을 경우 언제든 피드백 부탁드립니다.
'CTF & Challenge > [Challenge] DreamHack.io' 카테고리의 다른 글
| [DreamHack.io]_CSRF_2 (0) | 2023.12.02 |
|---|---|
| [DreamHack.io]_CSRF_1 (0) | 2023.12.01 |
| [DreamHack.io]_(4)_XSS_2 (1) | 2023.11.30 |
| [DreamHack.io]_(3)_XSS_1 (0) | 2023.11.29 |
| [DreamHack.io]_(2)_Session (0) | 2023.11.28 |