728x90
Kknock에서 이 문제를 푼다고 하는데 burp suite를 어떻게 사용하는지 물어보아서 burp suite를 이용해서 한 번 풀어 보았다.
처음에 조건으로
id = admin
pw = 세자리
id, pw가 맞아서 로그인에 성공하면 key is라는 문자가 출력된다는것
이렇게 3가지의 조건이 주어졌다.
그래서 저 로그인 화면에다가 일단 admin과 임의의 비밀번호를 입력한후에 burp suite를 이용해서 intercept하였다.
여기에 있는 request가 잘 응답하는지 보기위해서 Repeater로 보내서 확인해보았다.
잘된다.
이제 비밀번호를 무작위로 대입해야 하니깐 Intruder로 보내서 코드를 수정하였다.
그리고 Payload설정을 세자리 비밀번호니깐 100부터 999까지 돌리도록 하였다.
마지막으로
'key is' 라는 단어가 나오면 나오게한 그 숫자가 비밀번호인것임을 알려주기 위해서
Options에서 기존에 있던것은 지우고 Match 설정에 'key is'를 추가해주었다.
그리고 Start Attack
그러면 이렇게
숫자가 784일때 key is가 체크 된 것을 확인 할 수 있다.
Response 탭에 들어가서 정답이 784임을 다시 확인 하였다.
홈페이지에서 로그인 해보니
잘된다ㅎㅎㅎㅎ
반응형
'C. 웹 > 실습' 카테고리의 다른 글
[LOS] 1번 gremlin (0) | 2017.08.03 |
---|---|
[WEB] SQL Injection 공격 문제 (0) | 2017.07.27 |
[Webhacking.kr] 9. Challenge 14 (0) | 2017.07.20 |
[Webhacking.kr] 8. Challenge 4 (0) | 2017.07.20 |
[Webhacking.kr] 7. Challenge 26 (0) | 2017.07.17 |