· 소스코드 분석 중 화면에 보이지 않는 경로(change_password)가 있음을 발견했고, 그 소스를 분석해봤더니 파라미터로 전달된 pw로 계정 비밀번호를 바꾸는 코드였다.
· 따라서 /change_password?pw=$(원하는 비밀번호) 이런 식으로 url을 짜서 보내면 admin의 계정 비밀번호를 내가 원하는 대로 바꿀 수 있어, admin으로 로그인하면 문제를 해결할 수 있다.
'web hacking' 카테고리의 다른 글
| layer7 과제 - 드림핵 116번(funjs) (0) | 2022.05.22 |
|---|---|
| layer7 과제 - crawling (0) | 2022.05.16 |
| layer7 과제 - webhacking.kr - old-54 라이트업 (0) | 2022.05.16 |
| layer7 과제 - 드림핵 75번 (0) | 2022.05.16 |
| layer7 과제 - csrf-1 라이트업 (0) | 2022.05.16 |