반응형
HTTP verb tampering 문제입니다. 보안 설정을 우회하라네요. 일단 접속해봅시다.
아무런 내용없이 로그인 창만 뜨네요. 소스보기도 안되고,,
그래서 전 일단 verb tampering을 검색해보았어요.
HTTP에서 제공하는 Method 관련 문제더라구요. 메소드들을 이용해서 권한 없이 접속하는 그런..
(사실 저도 정확하게는 파악하지 못하였습니다. 참고하실만한 링크입니다. http://resources.infosecinstitute.com/http-verb-tempering-bypassing-web-authentication-and-authorization/#gref)
우선 저는 해당 페이지에서 사용할 수 있는 메소드들을 알아내기 위해 OPTIONS 메소드로 전송해보았는데요,
이렇게 GET 메소드로 전송되는 것을,
OPTIONS 메소드로 바꾸어 전송했는데요,
정말 의도치 않게 패스워드가 나와버렸네요ㅋㅋㅋ ㄱㅇㄷ
반응형
'Study > Wargame' 카테고리의 다른 글
| root-me >> File upload - MIME type (0) | 2018.02.21 |
|---|---|
| root-me >> File upload - double extensions (0) | 2018.02.21 |
| root-me >> HTTP directory indexing (0) | 2018.02.21 |
| root-me >> User-agent (0) | 2018.02.21 |
| root-me >> Weak password (0) | 2018.02.21 |