admin으로 로그인해서 flag를 획득해야 하는 문제다.
문제 페이지에 접속하면 다음과 같다.
로그인 페이지는 아래와 같고, guest로 로그인해봤다.
guest/guest로 로그인했더니 guest 계정으로 로그인 되었다.
이 상태에서 cookie를 확인해보면 username으로 guest가 추가된 것을 볼 수 있다.
여기서 guest를 admin으로 바꾸고 페이지를 새로고침하면,
admin으로 로그인 할 수 있다.
flag는 DH{7952074b69ee388ab45432737f9b0c56}
cookie의 개념을 잘 이해하고 취약점을 알고 있으면 해결할 수 있는 문제였다.
https://dreamhack.io/wargame/challenges/6/
cookie
쿠키로 인증 상태를 관리하는 간단한 로그인 서비스입니다. admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다. Reference Introduction of Webhacking
dreamhack.io
'Study > Web Hacking' 카테고리의 다른 글
| [dreamhack] XSS-1 (0) | 2022.03.10 |
|---|---|
| [dreamhack] session-basic (0) | 2022.01.25 |
| [dreamhack] devtools-sources (0) | 2022.01.25 |
| [dreamhack] cookie & session (0) | 2022.01.25 |
| [dreamhack] web browser (0) | 2022.01.25 |