최종 비밀번호 제출시 What? you are hacker! I reset password!
인젝션 포인트 잡아서 32자리 비밀번호를 추출했습니다.
혹시 몰라서 인젝션할때 페이지 내용을 봤는데 Password will be reset after 5 unsuccessful login attempts.를 계속 출력하는 것을 보아 제출 카운트가 줄지않고 벤 목록에도 해당되지 않는 것을 확인했습니다.
하지만 최종 비밀번호를
sess = requests.Session()
...
res3 = sess.post(url=url+'login', data={'username' : "admin", 'password' : password})로 전송하거나 직접 입력해도 What? you are hacker! I reset password!가 출력됩니다.
What? you are hacker! I reset password!가 출력되는 경우는 벤 목록에 해당되는 문자를 전송하거나, 쿼리로 받아온 값이 입력한 값과 다를 경우 두 가지인데, 제가 어떤 부분을 놓치고 있는 것인지 잘 모르겠습니다.
#web
답변
2
geeneoning
Dreamhack CTF S2 Ⅳ 참여
음 저도 비밀번호를 구하고 나서 입력하니 인증이 안되었던 문제가 있었는데
poc코드를 한번에 짜서 마지막 나온 결과로 로그인까지 시도하게 코드 짜서 하니까 해결되었었습니다!
GID
대표 업적 없음
방금 알아냈습니다
db 세팅 문제더라고요,,,
질문에 대한 답을 알고 계신가요?
지식을 나누고 포인트를 획득해보세요.
답변하고 포인트 받기 지식을 나누고 포인트를 획득해보세요.
