Information Security
[DreamHack] session-basic 본문
https://dreamhack.io/wargame/challenges/409/
session-basic
Description 쿠키와 세션으로 인증 상태를 관리하는 간단한 로그인 서비스입니다. admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다. Reference Background: Cookie & Session
dreamhack.io
접속 정보 사이트로 들어가보자
문제 파일의 코드를 확인해보자
코드 확인 결과 guest와 user, admin으로 접속 가능함을 알 수 있고 admin으로 flag를 얻을 수 있음을 알 수 있다
sessionid는 random으로 32byte가 hex로 표시됨을 알 수 있다
먼저, guest로 로그인해보자
admin이 아니라는 문구가 뜬다
지금 웹사이트 주소에 /admin을 더해 sessionid를 확인해보자
guest와 admin의 sessionid를 확인했다
admin의 sessionid를 복사하여 cookie - sessionid - Value 값을 바꾸어주자
새로고침을 해서 확인해보자
flag 찾기 성공!
flag : DH{8f3d86d1134c26fedf7c4c3ecd563aae3da98d5c}
'INTERLUDE > Web Hacking' 카테고리의 다른 글
[DreamHack] ClientSide: XSS (0) | 2022.02.13 |
---|---|
[DreamHack] Mitigation: Same Origin Policy (0) | 2022.01.30 |
[DreamHack] cookie (0) | 2022.01.23 |
[DreamHack] STAGE3 - Cookie & Session (0) | 2022.01.23 |
[DreamHack] devtools-sources (0) | 2022.01.17 |