HTTP - POST Write-up

[Solved in under 3 minutes]

어떻게 된게 문제를 푸는 시간 보다 와업쓰는 시간이 더 걸린다.

근데 왜 쓰냐? 자기과시냐? 아니다.

첫째. 글을 작성하는 것과 그냥 생각하는건 천지 차이라고 생각한다.
즉, 작성하면서 머리 정리가 되고 기억에 되게 오래 남는다.
진짜 이건 해 본 사람은 다 알 듯.

둘째. 취업 or 이직할때 도움이 된다.(뇌피셜)

이상.

가보자

오호 무슨 게임처럼 보인다.
일단 소스코드 보자

<!DOCTYPE html>
<html>
    <head>
        <title>HTTP Basics</title>
    </head>

   <body><link rel='stylesheet' property='stylesheet' id='s' type='text/css' href='/template/s.css' media='all' /><iframe id='iframe' src='https://www.root-me.org/?page=externe_header'></iframe>
        <h1>RandGame</h1>
        <h2>Human vs. Machine</h2>
        <hr>
        <p>Here is my new game. It's not totally finished but I'm sure nobody can beat me! ;)</p>
        <ul>
            <li>Rules: click on the button to hope to generate a great score</li>
            <li>Score to beat: <strong>999999</strong></li>
        </ul>

        
        <form action="" method="post" onsubmit="document.getElementsByName('score')[0].value = Math.floor(Math.random() * 1000001)">
            <input type="hidden" name="score" value="-1" />
            <input type="submit" name="generate" value="Give a try!">
        </form>
    </body>
</html>

코드로 쉽게 알 수 있듯이, 버튼을 누르면 0 ~ 1,000,000 사이 숫자로 매핑이 되는데 999,999 초과인 1,000,000 여야지 풀리는 문제다.

버튼을 누르면 값이 정해지고 보내지는 것 같다.

단순하게 JS값만 바꾸면 되나 싶어서 콘솔창에서 끄적여 봤는데 안돼서

Burp Suite.

잡고보니 클릭 할 시 역시나 값을 포함해서 요청을 날린다.

이거를 바꿔보자~

역시나 되었다.

삽입하러 가자~

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ 답 ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

H7tp_h4s_N0_s3Cr37S_F0r_y0U

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

요청값 변조는 뭐 당연히 웹해킹중에서 기초라고 생각해 무시 할 수 있지만,
실무에서도 그렇고 가장 많이 사용하는 것이니 기초라고 무시하지말고 여러 방면 공부를 하자

RootMe HTTP - POST Write-up Write-up

이상 보고 끝!