해킹왕 양선규

Natas Level 21 입니다. 메인 페이지 입니다. 저번 레벨과 같이, natas22의 password를 얻고 싶다면 admin 계정으로 로그인 하라고 합니다. 특이하게도, natas21-experimenter 페이지와 환경을 공유한다고 합니다. experimenter 페이지입니다. 편의상 페이지2라고 하겠습니다. 해당 페이지엔 css관련 설정을 할 수 있는 폼이 있군요. 일단 각 페이지 소스코드를 살펴봅시다. password출력 조건문이 존재하는군요. password를 직접 획득할 수 있는 페이지는 이곳인 것 같습니다. 세션명 "admin" , value값은 1일 때 password를 출력합니다. 저번 레벨과 조건 자체는 같군요. 페이지2 소스코드입니다. css 값들을 입력받아 적용하는 코드인 것..

Natas Level 19 입니다. 저번 문제와 비슷하지만 약간 다릅니다. Level 19 문제입니다.이전 레벨과 거의 동일한 코드를 사용하지만, 세션ID가 순차적이지 않다고 합니다. 이전 레벨의 세션값은 1~640 중에 하나의 숫자였죠. 따라서 brute force 공격을 하기가 용이했습니다. 그러나 세션값이 순차적이지 않으면.. 코드를 짤 기준이 있어야 자동화 프로그램을 만드는데, 그게 어려워 집니다. 완전히 랜덤으로 생성되는 것일까요? 일단 현재 세션값을 확인해 봅시다. 개발자도구(F12) -> Application -> Cookies id password 아무렇게나 입력하고, 세션값을 확인해 보았습니다. 세션값은 "3235372d6868" 이군요... 정말 랜덤인 걸까요? 혹시 세션값 생성에 대한..