![]()
https://webhacking.kr/challenge/bonus-6/ https://webhacking.kr/challenge/bonus-6/ webhacking.kr [문제] [풀이] [Challenge 33-1] 소스코드를 본다. Challenge 33-1 view-source GET방식으로 get을 받고 get이 hehe라면 Next를 출력하는 코드이다. Next가 하이퍼링크 걸린다. 아마 old-33문제는 부분문제들인 것 같다. [Challenge 33-2] Challenge 33-2 view-source 33-2번 문제의 소스코드이다. POST방식으로 post는 hehe, post2는 hehe2로 입력받으면 다음문제로 넘어간다. burp suite를 이용해서 패킷을 변조 후 전송한다. [Ch..
![]()
http://suninatas.com/challenge/web08/web08.asp [문제] [풀이] id는 admin이고 pw는 0~9999 라고 한다. 브루트포스 공격을 통해 Authkey 값을 얻으면 된다. Burp Suite를 이용한다. pw를 잡고 Payloads를 Numbers로 바꾼 뒤 From, To, Step을 정해준다. Settings에 Grep - Match를 설정해준다. pw가 맞아 떨어질 때, Authkey값이 노출되는 것을 알기 때문에 Authkey를 추가해준다. 이후 Start attack을 눌러 브루트포스 공격을 시작한다. 기다린다... 하지만 너무 느리게 돌아간다. 그래서 파이썬 코드를 사용해서 브루트포스를 돌린다. import requests url = 'http://su..
