[웹해킹][Natas] Natas2 문제 풀이

Natas2 문제를 풀어보자. 링크에 접속하면 아래와 같은 화면을 볼 수 있다.

이 페이지에는 없다고 한다.... 이렇게 문제는 끝났다고 한다...

라고 하기엔 너무 아쉽지 않은가 우선 소스를 보러 가보자.

소스를 보는데 구린냄새가 난다. 이전 소스들과는 다르게 img태그가 존재한다.

구린냄새가 나면 들어가보자.

하얀색 작은 점 하나가 보인다. 이게 저 pixel.png파일이다. 여기서 끝? 하고 끝낼 수는 없는 일이다.

느낌이 온다. pixel.png는 files이라는 디렉터리 안에 존재하는 파일이다.

만약 이 페이지에 디렉터리 리스팅 취약점이 존재한다면 우리는 files 디렉터리 안에 있는 파일을 볼 수 있을 것이다.

이런 가정하에 한번 natas2.natas.labs.overthewire.org/files/로 접속해보자.

아니나 다를까 나의 예상은 맞았다. files내에는 다른 파일이 존재했고, users.txt라는 파일이 존재했다.

그럼 저걸 들어가보자.

users.txt 파일을 읽어보니 우리는 natas3의 패스워드를 확인할 수 있게됐다.

그럼 다음문제로 가보자.

natas3:sJIJNW6ucpu6HPZ1ZAchaDtwd7oGrD14