SolB

alert(document.domain);을 출력해주어야 한다.

힌트는 다음과 같았다.

우선 이전 stage의 입력을 똑같이 넣어주었다.

그랬더니 Japan에서의 이와같은 장소를 찾지 못했다라는 문구가 떴다.

페이지 소스코드를 확인해보았다. 

Japan이 속해있는 Choose a country의 탭이 p2에 속한다는 것을 알 수 있다.

위 text box는 escaped되었다는 힌트를 참고해 p2를 조정하기로 했다.

Burp suite을 통해 확인해보기로 하였다.

위 p2 부분을아래와 같이 조정해주었다.

그리고 intercept를 off 해주었더니 다음과 같이 공격에 성공하였다.

이전 문제와 동일한 입력인 ?id=' or 1=1%23 을 써주었더니 아래와 같은 화면이 떴다.

코드를 자세히 살펴보았다.

if($result['id'] == 'admin') solve("cobolt");
  elseif($result['id']) echo "<h2>Hello {$result['id']}<br>You are not admin :(</h2>"; 
  highlight_file(__FILE__);

여기서 id가 admin이면 solve를 할 수 있고, 그렇지 않으면 위 공격에 실패한 사진과 같이 'Hello {id} You are not admin :(' 이 뜨도록 되어있었다.

따라서 공격에 성공하기 위해 id에 admin을 넣어주어야 한다. 그리고 gremlin에서처럼 뒷 내용을 주석처리화 해주기 위해 %23(#)을 넣어주어야 한다. 

-> ?id=admin ' %23

을 입력해주었더니 아래와 같이 성공할 수 있었다.

Refresh page를 눌러보았더니 문구가 바뀌었다.

검색해본 결과, Burp Suite로 Referer을 조작하면 natas5에서 접속한 것 처럼 할 수 있다는 것을 알게되었다.

Referer을 위와 같이 바꿔주었다.

그랬더니 다음과 같이 비밀번호를 얻을 수 있었다.

iX6IOfmpN7AYOQGPwtn3fXpbaJVJcHfq

직전 단계와 마찬가지로 페이지에 아무것도 주어져 있지 않았다.

소스코드를 살펴보았다.

이전과 달라진 점은 15줄의 <!-- No more information leaks!! Not even Google will find it this time... --> 뿐이다.

이 문구에서 Not even Google will find it this time이 Google robot을 의미하는 것이라고 한다.

구글 검색
: 구글의 검색 능력을 이용해 취약한 웹 서비스의 정보를 수집하는 단계로, 취약점을 쉽게 찾아내는 중요한 단계 

구글 검색 대응 방안 - robots.txt
: 인터넷 검색엔진 배제 표준(Robots Exclusion Protocol)이란 보안이 필요한 내용이 검색엔진에 유출되지 못하도록 웹 페이지를 작성하는 방법을 기술한 국제기술 표준
- User-agent : 수집하는 주체의 범위를 정한다. (*로 설정한 경우, 모든 로봇의 접근 차단)
- Allow : 허용한 디렉터리 설정
- Disallow : 검색을 허용하지 않을 홈페이지 디렉터리를 설정

natas3 url에 /robots.txt를 추가해주었다.

robots.txt에서 /s3cr3t/에 검색을 허용하지 않고 있다는 사실을 알 수 있다.

따라서 natas3 url에 /s3cr3t를 추가해주었다.

여기서 users.txt에 들어갔더니 다음과 같이 비밀번호를 얻을 수 있었다.