[SquareCTF 2022] Alex Hanlon Has The Flag!

Alex Hanlon의 useranme을 찾아서 그의 계좌에 저장되어 있는 플래그를 찾는 문제이다.

별도의 취약점 힌트나 문제 코드 없이 문제 사이트 주소만 주어진다.

 

 

주어진 사이트에 들어가면 위와 같은 화면이 나온다.

 

 

스크립트를 사용해봤지만 통하지 않았다.

 

 

sql을 사용해 admin 계정으로 로그인을 시도해봤지만 이것 또한 실패했다.

 

 

더 시도할 수 있는 게 있을까 고민하다가 버프 스위트를 사용해보기로 했다.

버프 스위트로 패킷을 캡처하여 리피터로 보낸 후 GET 메소드를 HEAD로 수정하고, 드림핵 툴로 username 변수를 출력하도록 요청을 했다.

하지만 400에러가 뜨고 Request Bin에도 아무것도 뜨지 않았다..