Information Security

[DreamHack] session-basic 본문

INTERLUDE/Web Hacking

[DreamHack] session-basic

sohexz 2022. 1. 30. 22:53

https://dreamhack.io/wargame/challenges/409/

 

session-basic

Description 쿠키와 세션으로 인증 상태를 관리하는 간단한 로그인 서비스입니다. admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다. Reference Background: Cookie & Session

dreamhack.io

 

 

접속 정보 사이트로 들어가보자

 

 

문제 파일의 코드를 확인해보자

 

코드 확인 결과 guest와 user, admin으로 접속 가능함을 알 수 있고 admin으로 flag를 얻을 수 있음을 알 수 있다

 

sessionid는 random으로 32byte가 hex로 표시됨을 알 수 있다

 

먼저, guest로 로그인해보자

admin이 아니라는 문구가 뜬다

 

지금 웹사이트 주소에 /admin을 더해 sessionid를 확인해보자

guest와 admin의 sessionid를 확인했다

admin의 sessionid를 복사하여 cookie - sessionid - Value 값을 바꾸어주자

 

 

새로고침을 해서 확인해보자

 

 

flag 찾기 성공!

 

flag : DH{8f3d86d1134c26fedf7c4c3ecd563aae3da98d5c}

 

'INTERLUDE > Web Hacking' 카테고리의 다른 글

[DreamHack] ClientSide: XSS  (0) 2022.02.13
[DreamHack] Mitigation: Same Origin Policy  (0) 2022.01.30
[DreamHack] cookie  (0) 2022.01.23
[DreamHack] STAGE3 - Cookie & Session  (0) 2022.01.23
[DreamHack] devtools-sources  (0) 2022.01.17