send를 누르면 Mail has been sent라고 뜸.
그냥 아무거나 입력해봤는데 갑자기 too fast... time limit is 10second라고 한다.
메일 관련된거라면.. 음..
IMAP이나 SMTP 관련된 해킹 공격이 아닐까? 생각해본다.
IMAP은 인터넷 메시지 접속 프로토콜
SMTP는 간이 우편 전송 프로토콜
보통 이메일 보내는데 사용되는 프로토콜이 SMTP고 IMAP은 이메일을 관리하는? 프로토콜
POP3도 IMAP이랑 비슷한데 얘는 메일을 확인하고 삭제하는 것으로 알고 있다. (IMAP은 동기화하는 느낌)
어쨌든 이 문제에 적합한 프로토콜은 아마 SMTP인거 같은데.. SMTP를 이용한 exploit은 해본 적이 없어서 그냥 injection이라고 검색해봤다.
portswigger에 SMTP (mail) header injection이라는 해킹이 있었다.
공격자가 메시지에 추가 헤더를 삽입할 수 있는데, 이때 cc(참조) Bcc(숨은 참조)를 추가할 수 있다고 하더라.
보통
이메일 형식을 생각하면
> Content-Type: text/html
> Date: Wed, 25 D 2020 00:00:01
> From: Bryan <vry4n@vk9sec.com>
> Subject: Are you on vacation?
> To: everyone <everyone@vk9sec.com >
이런식으로 작성이된다고 한다.
Subject다음에 cc나 Bcc를 써주면 될거 같은데..
CRLF를 사용해주면 되지 않을까..?
근데 여기서 내가 간과한거 ㅠ
이 부분을 textarea로 바꿔줘야 하는데 계속 이상태에서 쓰고 있었음
input type부분을 없애고, textarea로 바꿔주면 된다. 뒤에 </textarea>도 필수
음.. 근데 이렇게 했는데 별 응답이 없다.
혹시 띄어쓰기 문젠가 해서 이렇게 해봤는데.. 이것도 아님
틀린 이유는 .. 두개
Cc: 라고 작성해야하고,
Cc: 다음 띄어쓰기를 해줘야한다. ^^..
쉬운 문제 같은데 너무 어려웠음..
'CTF, 워게임 문제 풀이 > webhacking.kr' 카테고리의 다른 글
| webhacking.kr 48번 문제 풀이 (0) | 2022.12.16 |
|---|---|
| webhacking.kr 46번 문제 (0) | 2022.12.14 |
| webhacking.kr 45번 문제 (0) | 2022.12.13 |
| webhacking.kr 44번 문제 (0) | 2022.12.10 |
| webhacking.kr 43번 문제 (0) | 2022.12.10 |
댓글