[2019 사이버작전경연대회][Web] Hidden Command

라업을 올리는 기간을 감안해서 진작 라업을 작성하고 이제서야 올리게 되었습니다.

문제 한번 보시죠!ㅎㅎ

 

해당 문제를 처음 들어가 보면 다음과 같은 HC Board라는 화면이 뜹니다.

 

회원가입을 하고 로그인 해보겠습니다.

 

대회가 끝난 후라서 248개라는 페이지가 존재 하지만 맨 처음 게시글을 보면 Secret Document 라는 게시글이 있습니다.

그리고 내가 쓰지 않은 글을 들어가려고 하면 다음과 같은 창이 뜹니다.

 

같이 들어있는 Source 를 확인해 보겠습니다.

 

소스코드 중에서 위의 소스코드는 겉으로 볼수 없는 경로 입니다.

/forget 을 들어가 보겠습니다.

 

 

에서 password 를 변경할 수 있는데.. 소스코드 중에서 좀 희한한 부분이 있습니다.

 

b.username = admin_username 을 하는 코드가 있습니다.

해당 코드를 보고 로그인 하고 reset을 하고 게시판으로 가면 admin의 username을 가질수 있기 때문에 Secret Document에 접근할 수 있습니다.

 

변경 한후 바로 게시판으로 가면 됩니다.

 

 

Flag :  FLAG{N0t_s3cur3_4t_411}