728x90
새로운 문제를 풀어봤다. 이름을 봤을 땐 익숙한 jwt토큰 문제가 아닐까 예상했다.
사이트를 요약해 보면 admin은 스페셜한 스크래치패드를 얻을 수 있고 일반 사용자는 john 같은 보편적인 아이디로 들어가 보라고 알려준다.
당연히 admin으로 들어가 보면 아무것도 얻을 수 없었다.
John으로 들어가 보면 위 메시지와 함께 쿠키를 얻을 수 있었다.
이 부근에서 많이 헤맸다.
폭풍 구글링을 해서 받은 쿠키를 디코드 해서 정보를 얻어 값을 수정해 넣어봤지만 에러만 떴다.
디코드를 해봤던 사이트와 구글링 하며 단서를 얻은 링크▼
그러다가 사이트에 john 텍스트를 누르면 john the ripper라는 깃헙에 들어갈 수 있었고, 서둘러 다운로드하여서 사용해 봤다.
하지만 사용법이 좀 어려워서 고전했다.
핵심 기능을 쉽게 알 수 있었던 링크▼
비밀번호를 해독 중...
시간이 엄청 걸렸기 때문에 rockyou를 사용했다. (그냥 하면 엄청 오래 걸린다.)
flag 값을 얻었다.
그냥 단순히 쿠키값만 변경하는 방법이 아닌 걸 알 수 있게 된 문제였다.
처음 써봐야 하는 툴이 있어서 정말 어려웠다.
728x90
'ctf > Web Exploitation' 카테고리의 다른 글
| It is my Birthday 문제 풀어보기 (0) | 2025.01.25 |
|---|---|
| Client-side-again 문제 풀어보기 (1) | 2025.01.24 |
| picobrowser 문제 풀어보기 (0) | 2025.01.22 |
| Irish-Name-Repo 3 문제 풀어보기 (0) | 2025.01.21 |
| Irish-Name-Repo 2 문제 풀어보기 (1) | 2025.01.20 |
댓글