Sh4n3e

Natas5 문제를 풀어보자. 문제의 URL에 접속하면 아래와 같은 화면을 보게 된다.[URL : http://natas5.natas.labs.overthewire.org/index.php] 접근이 허용되지 않았다고 한다, 왜냐하면 로그인을 하지 않았으니까! 라는 메시지를 전하고 있다.뭐 어쩌라는건지... 라는 생각을 가지게 된다. 우선 Burp Suite를 켜고 무엇을 Request하고 Response하는지 보자. 자세히 보면 Cookie 정보에 [loggedin=0]라고 되어있는게 보일 것이다. 아? loggedin이 0, 즉 false인 상태로구나 라고 유추가 된다. 그렇다면 이 값을 바꿔보자. loggedin=1로 값을 바꾸고 Request를 한다. 너무 어이없게도 문제가 풀려버렸다. 다음문제로 ..

다음 문제를 한번 풀어보도록 하자. 이번 문제는 Natas4 문제 이다. Access disallowed라고 한다. 왜 접근을 허용하지 않는거야! 라고 하기전에 우선 Refresh page를 눌러보자. 나는 아무것도 안했는데 "http://natas4.natas.labs.overthewire.org/"로부터 방문했고, 여전히 Access disallowed 라고 한다.그리고 "http://natas5.natas.labs.overthewire.org"로부터 방문한 사용자만 인증된다 라고 말하고 있다.흠... 이럴땐 Burp Suite을 한번 써보자. 자세히 살펴보면 Referer에 http://natas4.natas.labs.overthewire.org가 써있다. 여기를 한번 다르게 변조해서 들어가보자. ..

이번에도 우선 Natas3 문제로 접속해보자 그래 이번에도 이 페이지에는 패스워드가 없구나? 그럼 어딨지?우선은 소스를 한번 보자. 힌트가 적혀있다.""No more information leaks!! Not even Google will find it this time..."정보가 새지 않는단다. 구글도 찾을 수 없을 거란다...이건 뭐지? 하는 사람이 있을 거다.하지만 구글엔진 봇은 항상 인터넷을 떠돌며 정보를 수집하는데, 보통은 robots.txt에 disallow되어있는 곳은 수집이 불가능하다. 그렇기 때문에 구글이 찾을 수 없을 거라고 써놓은 것이다.따라서 우리는 robots.txt로 들어가보면 정보를 얻을 수 있지 않을까 하고 들어가본다. /s3cr3t/의 위치가 Disallow되어 있는 것을..