들어가자마자 javascript의 alert가 뜨고 페이지가 메인페이지로 이동된다.
때문에 소스보기를 할 수가 없어서, 나는 BurpSuite를 이용해 Response 값을 잡아주었다.
∙ Intercept Client Requests
-> 디폴트로 ON, request 요청을 잡아줌
∙ Intercept Server Responses
-> 디폴트로 OFF, response 를 잡아줌. (이걸 ON 시켜줘야 가능)
근데 나중에 알고보니 아주 유용한 방법을 알게됐다.
view-source:URL 을 웹페이지에 입력하면 해당 URL의 소스를 볼 수 있단다..!! 나같은 웹알못에게 아주 큰 꿀팁이였다.
따라서 view-source:webhacking.kr/challenge/js-2/ 를 웹페이지 창에 입력해줘도 된다.
어쨌든 두 가지 방법 중 아무 방식으로든 웹 페이지의 소스를 열게 되면
<html>
<head>
<title>Challenge 15</title>
</head>
<body>
<script>
alert("Access_Denied");
location.href='/';
document.write("<a href=?getFlag>[Get Flag]</a>");
</script>
</body>
요런 코드가 나온다.
alert("Access_Denied") 구문이 경고창을 띄워주는 구문이고
location.href='/' 구문이 페이지를 메인페이지로 이동시켜버리는 구문이고
document.write("<a href=?getFlag>[Get Flag]</a>"); 구문은 웹 페이지상에 [Get Flag] 라는 이름의 링크(주소는 ?getFlag)를 출력하는 코드인데, 우리는 페이지가 튕기기 때문에 볼 수가 없다. 하지만 이동시켜주면 되므로
webhacking.kr/challenge/js-2/?getFlag 를 웹페이지에 입력해주면 된다.
'[웹해킹] > [Webhacking.kr]' 카테고리의 다른 글
| [Webhacking.kr] 17번 (0) | 2020.09.28 |
|---|---|
| [Webhacking.kr] 16번 (0) | 2020.09.28 |
| [Webhacking.kr] 14번 (0) | 2020.09.26 |
| [Webhacking.kr] 13번 문제풀이 ★★★★☆ -자바- (0) | 2020.09.25 |
| [Webhacking.kr] 12번 문제풀이 (0) | 2020.09.18 |
