0601 SuNiNaTas Challenges 2번

목요일팀 김지원

 

 

써니나타스 2번에 도전해보았다.

 

suninatas web 2번

 

 

여기서 쓰는 아이디와 패스워드를 넣어보았는데 당연하게도 답이 아니었다. 

어떤 조합으로 입력을 해보아도 아무런 변화가 생기지 않았다.

 

 

 

써니스타스 2번

 

그러다가 아이디와 비밀번호를 abc로 같게 입력해보니 "You can't join! Try again"이라는 창이 생성되었다.

 

 

소스코드를 확인하기 위하여 페이지 소스보기를 눌러 확인해본 결과

 

 

<script> 부분을 보면 아이디와 패스워드가 같을 때, 위에서 봤던 창이 실행되도록 코드가 작성되어 있다.

 

힌트를 보면 아이디와 패스워드를 같게 했을 때, join이 가능하다는 것을 확인할 수 있었다.

 

 

 

 

코드를 수정하기 위해 버프 스위트를 이용하였다.

 

https://portswigger.net/burp/download.html

Burp Suite - Cybersecurity Software from PortSwigger

 

커뮤니티 버전을 다운받아 사용하였다.

 

크롬 설정 - 고급 - 접근성 - 컴퓨터 프록시 설정 열기 - 프록시 서버 사용 

 

로 들어가 버프 스위트의 주소 127.0.0.1 포트 8080 을 입력한 뒤,

http://burp 에 접속하여 인증서를 다운받은 후 사용할 수 있었다.

 

 

 

버프 스위트 다운 후 아이디와 비밀번호를 입력

 

버프 스위트에서 proxy - Intercept - intercept is on 을 활성화 시킨 뒤, 아이디와 패스워드를 다르게 입력하였다.

 

 

 

 

버프 스위트에서 써니나타스를 추적한 화면

 

 

이제 16번째 줄에서 id와 pw를 같게 만들어주면 된다.

 

 

 

 

 

그리고 Forward를 눌러 변경된 값을 서버로 전송하였다.

 

써니나타스 2번 문제 해결

 

그러면 Authkey를 확인할 수 있다.

 

 

 

 

 

 

<참고>

 

https://www.youtube.com/watch?v=d3Z-YLnaKX8&feature=youtu.be

https://blog.naver.com/dhlee0905/220613185719