[SharifCTF] PhotoBlog - Web (100)
해당 내용은 CTF 종료 후 서버가 일부 동작하지 않아 정확하지 않은 부분이 있을 수 있습니다. 귀여운 고양이 두마리가 반겨주는 블로그아래쪽에는 글을 남길 수가 있다. 메인 페이지에서 다른 페이지가 직접적으로 나타난 부분은 없지만 많이 사용하는 페이지명을 입력해보면 아래와 같이 login.php 페이지가 존재하는 것을 확인할 수 있고, admin.php 페이지도 접근은 안되지만 접근 시도 시 login.php 페이지로 이동되는 것을 확인할 수 있다. 다시 메인 페이지로 돌아와서, 간단하게 alert 창을 띄우는 스크립트를 삽입해보았다.alert('xss'); 작성한 다음 다시 메인 페이지에 접근해보면 아래와 같이 창이 발생하여 삽입한 스크립트가 정상적으로 동작하는 것을 확인할 수 있다. 소스를 보면 삽입..
BurpSuite 특정 대상만 보기
BurpSuite를 사용하다보면 보고 싶은 대상이 아닌 대상들도 다같이 보게 되는데, 특정 대상만 볼 수 있도록 설정하는 기능이 있다. Proxy > HTTP history에 보면 기록들을 볼 수 있는데, 여기에서 보고 싶은 대상을 선택하여 마우스 우클릭을 하면 아래 그림과 같이 세부메뉴를 볼 수 있다. 여기에서 Add to scope를 선택하여 추가해준다. 추가한 다음, Target > Scope로 이동해보면 추가된 대상을 확인할 수 있다. Proxy > Options로 이동해서 Intercept Client Requests와 Intercept Server Responses에 있는 Is in target scope 옵션을 활성화 시켜준다. (없을 경우 추가) HTTP history에서 찾기가 어려울 경..
