웹찢남

이번 대회는 꽤 직관적이어서 그런지 좋았던 것같다! 물론 컨셉도 참 맘에 들었다. 한문제빼고 AllClear!!! 이번 대회의 컨셉은 셜록이다..ㅋㅋ 문제 컨셉짜는데만 몇일이 걸렸을 듯하다. 해당 url에 들어가면 userlist가 나오는데 기본적으로 test계정의 password를 알 수 있다. message에도 접근을 할 수있는데 test는 test계정의 message만 볼 수 있게 설정 되어 있다. 일단 burp suite를 사용하여 날라가는 패킷의 정보를 파악해보면?? 아래와 같은 url을지나는데 첫번째 url에 주목을 했다. 위 두개를 보면 key라는 항목이 있다. 뭔가하면 바로 id를 md5화한 key다.. 딱 key보고 이게 id관리해주구나를 딱 알 수있다. 왜냐면 쿠키도없고 key를 아무 ..