버프스위트(burp suite) 간단 사용법_Decoder

[이 블로그는 해킹 공부하면서 가볍게 정리용으로 기록 및 내 생각을 끄적여 두기 위한 블로그(라 쓰고 일기라 읽는)이다.]

 

버프스위트의 기능을 이용하여 CTF문제를 푸는 사용법은 4파트(proxy, repeater, comparer, decoder)로 나눠서 다뤄보겠다.

 

 

링크를 클릭하여 들어가게되면 아래와 같이 웹 페이지가 출력된다.

 

 

 

admin이 아니라고 한다. 프록시 히스토리를 살펴보자.

 

 

쿠키값에 level이 인코딩된 것을 볼 수 있다. 그럼 이걸 디코더로 보내서 디코딩을 해보자.

 

 

URL인코딩+BASED64인코딩으로 이중 인코딩이 된 것을 볼 수 있고 내 레벨은 user라 웹 페이지가 admin이 아니라고 뜬 것이다,

그럼 똑같이 admin으로 이중 인코딩을 해서 쿠키값을 수정한다면?!

 

인코딩 한 데이터를 intercept로 넘어가 level을 수정해보도록 하자.

 

 

수정 후 포워드하면

 

 

 

웹 페이지에 이런 인코딩된 글씨로 출력이 된다. 딱 봐도 또 디코딩을 하면 플래그가 나올 것 같다. 

 

 

3중 인코딩이 되어있었다... 플래그 획득!!

decoder 로 플래그 획득하기 성공

이로써 CTF 문제로 버프스위트를 간단하게 이용하는 방법 끝