[natas - WEB hacking] level3 -> level4

[natas - WEB hacking] level3 -> level4

패킷 데이터 변조

  - proxy tool: paros, webscrab, burp suite, ...

  - 프록시 서버가 아닌 소프트웨어

  - 프록시 서버의 기능을 소프트웨어적으로 구현

! proxy: 중계자

burpsuite를 이용해서 level3 -> level4 문제를 푸는 방법도 있다.

Intercept 기능을 이용해서 패킷을 잡아둘수 있다.

[ 풀이과정 ]

페이지에 로그인하니 접근 권한이 없다고 나오면서 "http://natas5.natas.labs.overthewire.org/"에서 접속을 하라고 한다..

아직 natas4도 풀지 않았는데 natas5를 갔다오라니... 생각을 해보다가 http 헤더에 referer 헤더가 생각이 났다.

링크를 클릭해서 해당 페이지에 접속하는것과 같은 경우에 referer 헤더에 이전 페이지에 대한 주소가 적히게 된다.

그렇다면 직접 natas5를 갔다올수는 없으니 referer 헤더를 조작하면 되겠다..

python을 이용해서 조작된 헤더를 보내줄수도 있고 아니면 burp suite와 같은 프록시 툴을 이용해서 

헤더를 조작하는 방법도 있다..

( python을 이용해서 http request header에서 referer 헤더를 조작해서 보냈다.. )

python을 이용해서 referer을 조작해 요청을 보내게되면 

Access granted. The password for natas5 is iX6IOfmpN7AYOQGPwtn3fXpbaJVJcHfq 와 같은 내용을 볼 수 있다.

level3 -> level4 클리어~~~~~