완료됨
버프 스위트로 브루트 포싱을 해봤는데 안되는것 같습니다
답변 1 · 추천 2 · 조회 1385
session

안녕하세요,
session_storage[os.urandom(1).hex()] = ‘admin’ 가 의심스러워서 질문 칸에서 힌트를 좀 얻어봤습니다.
그리고는 버프 스위트 사용법을 익힌 후에 Intruder칸에서 브루트 포스를 256개의 경우의 수를 두고 (Character set: 0123456789abcdef / Min length: 2 / Max length: 2) 돌려봤는데 플래그가 안뜨더군요.
혹시 어느 부분이 문제인지 알 수 있을지 궁금해서 작성해봅니다.

#web
2022.01.01. 04:31
작성자 정보
더 깊이 있는 답변이 필요할 때
드림핵 팀과 멘토에게 직접 문의해 보세요!
구독하고 Q&A Ticket 시작하기
답변 1
avatar
믕믕이부하
대표 업적 없음
avatar
믕믕이부하
대표 업적 없음

일단 하신 부분은 맞는 것 같습니다. 256가지 경우의 수에 대한 모든 응답 값을 받아내고 그중에서 length가 다른 응답보다길거나 짧은 응답을 찾아내어 flag가 있는지 제대로 확인하시면 될 것 같습니다. 만약 안된다면 Python의 requests 모듈을 통해 직접 브루트 포스 코드를 제작하시는 것을 추천드립니다. Burp Suite의 브루트 포스는 Pro 버전이 아니면 속도에 제한이 걸리고, Python으로 제작하는 쪽이 응답 값을 찾아내기 편합니다.

2022.01.01. 04:59