[Dreamhack] session-basic (LEVEL 1)

Description

쿠키와 세션으로 인증 상태를 관리하는 간단한 로그인 서비스입니다. admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다.

 

풀이

step 1. 접속 정보 사이트로 접속

step 2. 문제 파일 다운로드 후 코드 확인

users = {

    'guest': 'guest',

    'user': 'user1234',

    'admin': FLAG

}

→  사용자 계정 정보를 확인 가능하다. admin 계정으로 로그인에 성공하면 FLAG를 얻을 수 있음을 알 수 있다.

@app.route('/login', methods=['GET', 'POST'])

@app.route('/admin')

→ login과 admin페이지가 존재함을 알 수 있다.

 

step 3. url창에 /login을 붙여서 login페이지로 들어간 후, guest : guest로 로그인해보자.

admin페이지로 들어가보면, admin의 sessionid를 얻을 수 있다.

step 4. 마지막으로 개발자 도구를 열어 Application -> Cookies의 sessionid value를 admin의 sessionid로 변경한후,

다시 새로고침해주면 flag값이 나온다.