Webhacking.kr 54번

[그림 1] 54번 문제

54번 문제를 클릭하게 되면 잠시 있다가 ? 자리에 문자와 숫자들이 빠르게 바뀌는 것을 볼 수 있다.

[그림 2] 문제 소스

크롬에서 54번의 소스를 확인해 보았다. 중요한 부분은 answer 함수로 GET 메소드를 통해 m이라는 변수에 값을 넣어주게 된다. run 함수의 반환 텍스트를 aview.innerHTML 변수에 넣고 반복적으로 i 값을 증가시키며 함수를 실행시키다가 공백 문자를 만나면 aview.innerHTML 변수를 ?로 치환하는 흐름이다.

[그림 3] 개발자 도구의 네트워크 탭

크롬에선 단축키 F12 개발자 도구를 열어 네트워크 탭에 들어가 확인해 보았더니 그림 2에서 설명한 것과 동일하게 m의 값이 1씩 증가하면서 각각은 다른 문자 또는 숫자를 담고 있는 것을 볼 수 있다. Preview 탭을 누르면 각각의 값들을 볼 수 있다.

[그림 4] Burp Suite 이용

그림 3의 방법과 같이 하나하나 문자 또는 수집하여 문자열을 만드는 방법도 있지만 귀찮으니까 그림 4와 같이 Burp Suite를 이용하여 run 함수의 반환 값들을 aview.innerHTML 변수에 모두 저장하고 빨간 줄 밑에 있던 공백이 되면 ?로 치환하라는 코드를 삭제 시킨다.

[그림 5] flag

소스를 수정하고 웹 페이지를 재실행 하고 조금만 기다리면 그림 5와 같은 flag를 획득할 수 있다.

[그림 6] 클리어

인증 부분에 그림 5 flag를 넣으면 그림 6과 같이 문제를 푸는데 성공할 수 있다!!!