13. [4주차]-2 버프스위트 트레이닝 코스 풀이
* 과제
1. 오늘 수업 복습
- BurpSuite: CTF 문제
2. Javascript
- 1. 키로거 만들어보기
- 2. 쿠키 탈취
3. 게시판 구현
- 게시판 글 작성
- 게시판 글 리스트 보기
- 게시판 글 내용 읽기
- 게시판 글 수정
- 게시판 글 삭제
1. 오늘 수업 복습
1.3 버프스위트 트레이닝
유튜버 노말틱님이 만드신 버프스위트 트레이닝 문제를 풀어보았다.
1.3.1 1_Intercept
Proxy의 Open Browser로 브라우져를 연 후 해당 문제에 접근했다.
Intercept on을 한 후 click을 누르면
해당 패킷이 잡히게 된다. 문제대로 data=normaltic으로 수정하고 Forward를 하면....
문제를 풀 수 있었다.
1.3.2 2_History
Proxy의 HTTP history를 들어간다.
history의 파일들을 보다보면 Secret Data를 알려주는 파일이 있었고 이 문제 역시 풀 수 있었다.
1.3.3 3_Repeater
Intercept On을 하고 아무 값이나 넣은 후 Send를 누른다.
Intercept된 패킷을 마우스 오른쪽 의 Send to Repeater 를 통해 Repeater로 보낸다.
해당 요청 패킷의 data+%3A+15 가 디코딩을 하면 data : 15이다.(내가 처음에 숫자 아무거나 넣은 데이터이다.)
1에서 50사이의 숫자를 넣으면서 응답 패킷을 보면서 결과를 확인하면 된다.
하지만 이건 너무 비효율적이라 나는 Intruder 기능을 이용했다.
다음 문제가 같은 유형이니 거기서 같이 설명하겠다.
1.3.4 4_Intruder
3번과 같은 문제이다.
똑같이 Intercept를 하고 이번에는 Send to Intruder 기능을 사용한다.
그럼 이런 창을 볼 수 있는데 여기서 숫자 부분(여기서는 15이다.)을 변수 처리해준다.
(해당 URL은 공개되면 안될 것 같아 임시로 제거하였다.)
오른쪽의 Add 를 이용한다.
이런식으로 변수처리를 한다.
다음 Payloads 부분에서 Payload type을 Numbers로 지정하고 From과 To를 설정한다.
그 후 오른쪽 위의 Start Attack을 누르면.....
이런 식으로 공격이 진행된다.
여기서 나는 Length 부분이 다른 패킷을 먼저 확인하였고 답을 알 수 있었다.
'보안공부 > 웹 모의해킹 공부' 카테고리의 다른 글
| 15. [4주차]-4 자바스크립트 활용 기능 만들기 (0) | 2024.05.10 |
|---|---|
| 14. [4주차]-3 버프스위트 활용 CTF 풀이 (0) | 2024.05.10 |
| 12. [4주차]-1 버프스위트 설치 및 사용법 (0) | 2024.05.09 |
| 11. [3주차]-4 JWT 로그인 구현 (0) | 2024.05.09 |
| 10. [3주차]-3 JWT 사용하기 (0) | 2024.05.07 |
