[SISS/웹해킹 스터디] 겨울학기 8주차 스터디 - Natas 06 >> 07, 07 >> 08

겨울학기 8주차 스터디 - Natas 06 >> 07, 07 >> 08

: 8주차 (2/24~3/02) [Natas] 06 >> 07, 07 >> 08

 

Level 6 → Level 7

---

• 풀이
  • 입력 폼 확인
  • 소스 코드 확인
    • 폼에 입력되는 값(secret)이 $secret과 같을 경우 비밀번호 노출 여부를 결정 → “includes/secret.inc”를 포함하고 있으므로 해당 변수는 이 파일에 존재함을 예상할 수 있음
  • /includes/secret.inc 경로 확인
    • $secret 값 확인(FOEIUWGHFEEUHOFUOIU)
• 입력
  • id → natas7
  • pw → bmg8SvU1LizuWjx3y7xkNERkHxGre0GS

Level 6 → Level 7 /includes/secret.inc 경로 확인

Level 6 → Level 7 입력

 

Level 7 → Level 8

---

• 풀이
  • 개발자 도구 > 소스 코드 확인
    • 주석을 통해 비밀번호 경로 확인 → /etc/natas_webpass/natas8
  • 링크 클릭
    • Home → 파라미터가 ?page=home으로 변경
    • About→ 파라미터가 ?page=about으로 변경
  • ?page=/etc/natas_webpass/natas8 경로 확인
    • 비밀번호 확인
• 입력
  • id → natas8
  • pw → xcoXLmzMkoIP9D7hlgPlh9XD7OgLAe5Q

Level 7 → Level 8 주석 힌트 확인

Level 7 → Level 8 파라미터 변경

Level 7 → Level 8 입력