728x90
웹해킹 문제 중 마지막에서 2번째다. 이 이후론 안나오다가 22번만 Web문제로 잠깐 등장할 예정.
음.. Brute Force 공격인가보다. 검색해보니까 Burp Suite으로 자동화 공격을 할 수 있다고 한다.
Request 창에서 id와 pw를 내가 입력해 보낸 내역이 뜬다. 이 전체 부분을 intruder로 보내준다.
이렇게!
clear를 한 번 해주고, id에는 우리가 이미 알고 있는 값인 admin을 입력해보자.
pw는 우리가 무차별 대입공격을 진행할거니까 add를 입력했다.
그 다음 Payload에 가서 0~9999까지 1씩 늘려가며 공격을 진행할 것이라고 설정했다.
여기서 끝내면 안되고, Options의 Grep으로 가면
공격에 성공했을 때 찾을 수 있는 특정 문자열을 검색하도록 하는데, 여기에 Authkey를 입력해주면 된다.
Start Attack 버튼 클릭!
^^;;
그런데 데모 버전이라 속도가.. 정말 느렸다. 켜놓고 잠시 딴걸 하다 왔다.
^^;;
30분 지났는데도 안돼있어서.. 그냥 답 확인하고 그 근처에 있는 범위로 다시 했다.
이렇게 어떤 숫자에 Authkey가 출력된 것을 확인할 수 있다.
Response에서 Authkey를 찾았다!
Burp suite으로 무작위 대입 공격을 하는 실습은 자주 해보면 좋다.
728x90
댓글