728x90
반응형
Natas Level 2 문제이다.
Level 2 메인 페이지이다. "이 페이지에는 아무것도 없습니다"
음.. 일단 개발자도구부터 켜보자
보이는가 ?
<img src="files/pixel.png">
문제 메인 페이지의 There is nothing on this page 문구와 함께 이미지 파일이 함께 삽입되어 있는 것 같다.
해당 주소로 이동해보았다.
이동 방법은, 메인 페이지 주소 뒤에 /files/pixel.png 를 그대로 붙이면 된다.
아무것도 없다.
하지만 files 디렉터리에 pixel.png 라는 파일이 지금 존재한다는 것은, 다른 파일도 존재할 수 있다는 것이다.
뒤에 pixel.png 경로를 지우고 files 디렉터리로 이동해 보았다.
files 디렉터리 접근에 성공했다. 방금 우리가 본 pixel.png 파일과, 또 하나의 users.txt 파일이 있다.
users.txt 파일을 열어보자.
users.txt 파일에 Level 3으로 통하는 password가 포함돼 있었다.
이와 같이, URL에 파일 경로를 직접 입력하여 웹 서버 내부 디렉터리에 접근할 수 있는 취약점을 "디렉터리 리스팅(인덱싱)" 취약점이라고 한다.
매우 위험한 취약점이지만, 간단한 설정으로 막을 수 있으니 개발자는 반드시 신경써야 할 것이다.
728x90
반응형
'Hacking > [Web]Natas' 카테고리의 다른 글
| OverTheWire [Natas Level 5] (0) | 2023.03.10 |
|---|---|
| OverTheWire [Natas Level 4] (2) | 2023.03.09 |
| OverTheWire [Natas Level 3] (0) | 2023.03.09 |
| OverTheWire [Natas Level 1] (0) | 2023.03.09 |
| 웹해킹 워게임 / 웹해킹 입문 / 웹해킹 초보 OverTheWire [Natas Level 0] (2) | 2023.03.09 |