Our First API 문제구분 난이도 작성자 WEB 중 JaeseoKim 문제 내용 문제 풀이 문제를 보면 2개의 사이트를 제공하고 있습니다. 일단 포트번호 4000번대로 들어가보면 아래와 같은 내용으로 되어 있는 것을 알 수 있습니다. :3000/AUTH에서 토큰을 발급 받고 :4000/API/ADMIN, :4000/API/NORMAL에서 인증을 하여 Flag를 도출해야 하는 문제로 보입니다. 일단 :3000/AUTH에서 토큰을 발급 받습니다. {"reason":"missing name parameter"} 접근을 하면 위와 같이 name 파라미터가 부족하다고 하는데 get 방식으로 파라미터를 넘겨봅니다. {"token":"eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.eyJuY..

Hop By Hop 문제구분 난이도 작성자 WEB 중 JaeSeoKim 문제 내용 문제 풀이 웹사이트에 접근을 해보면 메뉴에 admin 페이지 메뉴가 있습니다. 여기에 접근을 하면 아래와 같은 형태로 경고를 하면서 접근을 거부합니다. This site is restricted to Admin Computers only! Your incursion has been logged (10.0.0.37). 경고 IP를 보면 10.0.0.37로 사설 네트워크를 기록 하고 있는데 Proxy를 통해 전달이 되고 있는 형태로 의심이 됩니다. 한번 x-forwarded-for를 이용하여 127.0.0.1 루프백 주소를 전달 합니다. GET /admin HTTP/1.1 Host: ctfchallenges.ritsec.clu..