게시글을 작성해야 하는데 공지사항 페이지에는 글쓰기 버튼이 없다
게시글로 접근해도 우회에 사용할만한 수정 버튼이 없음
소스코드를 확인해봐도 별다른 정보를 확인할 수 없었다. 클라이언트 측에서 인가를 하고 있는게 아님을 확인
공지사항 페이지가 notice_list.php, 글 읽기 페이지가 notice_read인 걸 봐서 혹시 글쓰기 페이지가 notice_write.php가 아닐까해서 접근해보니 글쓰기 페이지가 등장했다
아무 글이나 입력하고 create하니 플래그를 확인할 수 있었다
flag 임시저장 게시글을 클릭하니 권한이 없다고 한다
글읽기 페이지가 아니여도 게시글을 확인할 수 있는 페이지가 뭐가 있을까 생각하니 수정 페이지가 있었다
아무 게시글이나 작성하고 수정 페이지 접근해서 id를 42로 수정하니 플래그를 발견할 수 있었다
마이페이지 URL을 보니 user로 사용자 id를 받고 있다
id를 admin으로 수정하니 플래그를 확인할 수 있었다
'웹 모의해킹 스터디 > 과제' 카테고리의 다른 글
| 13주차 과제 CSRF 취약점 보고서 (0) | 2024.02.27 |
|---|---|
| 10주차 과제 XSS 취약점 진단 및 보고서 작성 (0) | 2024.02.27 |
| [Authorization] CTF - authorization 2, 3 문제풀이 (0) | 2024.02.23 |
| [Authorization] CTF - authorization 1 문제풀이 (0) | 2024.02.23 |
| [File Vuln] CTF - Get Flag File2 문제풀이 (0) | 2024.02.21 |
