Shine Myself

HTTP 응답 값에서 관리자 페이지로 접근하는 정보를 찾는 문제입니다.

문제에 접속해보니 내용은 HTTP 응답 값만이 아니다?? 라는 이해할 수 없는 말이 적혀 있네요.

HTTP 헤더를 봐야하는 문제이니 프록시 툴로 인터셉트하여 살펴보겠습니다.

위는 Request, 요청하는 부분의 헤더 값이구요,

이것은 응답 값의 데이터입니다. 사실 여기에서 막혀서 몇일 고민했답니다.ㅎㅎ

Header-RootMe-Admin: none << 이 부분이 매우 의심스럽지 않나요?

none을 admin으로 바꾼다던가 등의 시행 착오 끝에 전체를 복사하여 Request의 헤더부분에 붙여보았습니다.

Admin 페이지에 접근됬네요!! 억울하게 쉬운 문제였습니다.ㅜㅜ

SQL injection 문제입니다. 관리자의 패스워드를 알아내라고 하네요.

문제에 접속하니 로그인 창이 뜨네요. 관리자의 패스워드를 알아내야 하므로 id에 admin, password는 가장 기본적인 sql 쿼리인 'or1=1-- 을 넣어주었습니다.

그랬더니 에러문이 출력되었습니다. or 1=1을 띄어주어야 하나 봅니다.

이번엔 id에 admin, password에 'or 1=1-- 을 넣어주었습니다. 그랬더니 admin의 패스워드가 아닌 user1의 패스워드가 출력되네요.

여기에선 sql injection 취약점이 존재한다는 사실을 알 수 있었습니다.

그래서 id 부분에 sql 쿼리문을 넣어보았습니다. 처음에는 admin'or 1=1-- 로 시도 하였더니 안되더라구요.

그래서 admin'or '1'='1 을 넣어보았습니다.

!!! admin의 패스워드가 출력되었어요! 하지만 마스킹 처리가 되어있네요. 당황하지 마시고 F12 개발자도구를 열어봅니다...

소스코드 상에는 패스워드가 평문으로 출력되어 있네요. 해당 값이 flag 값입니다.

서버 단에서 마스킹 처리를 한 후에 클라이언트 단으로 넘어와야 하는데,, 이 부분도 취약점으로 볼 수 있겠네요.

어쨌든 클리어!

Improper redirect 문제입니다. index 페이지에 접근하라고 하네요. 일단 문제 접속해봅시다.

문제를 열어보면 index.php가 아닌 login.php로 바로 리다이렉트되는 구조네요.

index.php에 접근해야하니 URL 상에 login.php?redirect 대신 index.php로 바꿔 전송해보았습니다.

하지만, login.php 화면으로 바로 리다이렉트 되네요.

때문에 저는 프록시 툴을 사용하였습니다. index.php로의 접근을 Burp Suite 툴을 이용해 조작하였죠.

그랬더니 브라우저 상에서는 보여지지 않았던 flag값을 볼 수 있었네요.

생각보다 어렵지 않은 문제였습니다.