Natas Level 5 입니다.
메인 페이지 입니다.
로그인이 되어있지 않아 액세스 허용이 안되어있다고 합니다.
음.. 분명히 접속할때 아이디와 password를 입력했는데 말이죠.
딱히 뭔가를 입력할 폼도 파라미터도 안 보이고..
Level 4처럼 상대를 속여볼까요?
Burp Suite를 이용해 Request패킷을 조작해서, 내가 로그인 된 상태라고 인지하도록 속여 봅시다.
Burp Suite 실행해서 Intercept is on 눌러준 후,
문제 페이지에서 "새로고침"(F5) 을 눌러 줍시다.
이렇게 Request 패킷을 잡았습니다. Level 4 에서는 Referer 부분을 수정했었죠. 하지만 이번엔 보이지 않네요..
하지만 10행에 Cookie 헤더가 보이십니까? 헤더 내용 끝부분까지 따라가 보면,
"loggedin=0" 글자가 보이실 겁니다.
굉장히 수상하네요. loggedin... 로그인.. 그리고 값은 0 이네요.
로그인이 되어있지 않다. 를 뜻하는 것 같은 느낌이 듭니다.
참고로 컴퓨터에서 0은 false를 의미하고, 1이상의 수는 true를 의미합니다.
"0" 을 "1" 로 바꿔 줍시다.
그리고 Forward 클릭!
권한이 부여되고 Level 6 password를 획득했습니다.
이번 문제는 이전 레벨과 크게 다르지 않아, 패킷을 주의깊게 살펴보신 분들은 빠르게 해결하신 분도 계실 것 같습니다.
'Hacking > [Web]Natas' 카테고리의 다른 글
| OverTheWire [Natas Level 7] (0) | 2023.03.10 |
|---|---|
| OverTheWire [Natas Level 6] (0) | 2023.03.10 |
| OverTheWire [Natas Level 4] (2) | 2023.03.09 |
| OverTheWire [Natas Level 3] (0) | 2023.03.09 |
| OverTheWire [Natas Level 2] (0) | 2023.03.09 |