# SuNiNaTaS 8
이런게 보인다..
아직 아무것도 안했는데 벌써부터 비밀번호가 틀렸댄다ㅠ
소스를 봤더니 힌트가 있당.
일단 아이디는 알려준 것 같다.
비밀번호를 찾는 것이 관건이겠다.
* 브루트 포스 공격
: 무차별 대입을 통해 억지로 문제를 푸는 기법
특정 암호를 풀기 위해 임의의 문자 조합을 하나씩 대입해 보는 공격 기법
[웹보안] 브루트 포스(BRUTE FORCE) 공격
INTRO 불과 '반년 전 즈음(2018.06)에 브루트 포스(Brute Force) 공격이 대형 은행을 겨냥해 시도' 되었습니다. 이 사건은 (적어도 당시에는) 다행히 실제 금전적인 피해로 까지는 이어지지는 않은 것
m.mkexdev.net
아주 잘 설명되어 있다.
뉴스기사도 나와있으니 한번 읽어보면 재밌음 껄껄
참고로...
내가 푼 이 문제에서도
브루트 포스 공격이 나옴..!!
포렌식_WEEK5_#one_data_one_zip(hint : brute-force attack)
파일을 다운받고 압축을 풀어봤다. (참고로 one_data_one_zip 이거 자체가 파일 이름이다. 그래서 압축 파일은 one_data_one_zip.zip 이렇게 되어 있었다.) 이렇게 pcapng 파일이 나온다. 문제에서 준 힌트를
2myona.tistory.com
이 공격을 수행하기 위해서 Burp suite (버프스위트)를 깔아줌.
Burp Suite - Application Security Testing Software
Get Burp Suite. The class-leading vulnerability scanning, penetration testing, and web app security platform. Try for free today.
portswigger.net
여기서 설치하면 된당.
이걸 설치하고, 설정같은 거를 더 해줘야 한다.
[Burp Suite (버프스위트)] 설치 및 설정 방법
[Burp Suite] 설치 방법 오늘은 어제 "Suninatas(써니나타스) 4번 문제"에서 사용했던 [Burp Suite]에 대한 설치 방법에 대해 설명하고자 합니다. 아래의 링크는 어제 내가 풀었던 링크를 걸어놨습니다. http
200301.tistory.com
이걸 참고하면 좋다.
저기 블로그의 순서대로 따라하면 설정이 금방 끝난다.
먼저 버프스위트를 열고,
프록시를 잡아줘야 한다.
Proxy -> HTTP History
이렇게 문제 페이지를 열어주고
ID 칸에는 'admin'을
PW 칸에는 0~9999 의 숫자 중 아무거나 (나는 0을 넣어줬다.)를
넣어준다.
그러면 위 사진처럼 버프스위트에서 프록시를 잡을 수가 있다.
그리고 PW값에 우리는 버프스위트의 Intruder 기능을 사용할 것이기 때문에
PW 코드를 우클릭해서 위 사진처럼 Sent to Intruder을 눌러준다.
그러면 Intruder로 넘어가게 되는데...
Intruder로 들어가서 이제 밑의 과정을 따라가면 된다.
Intruder
-> Payloads
-> Payloads type : numbers
-> Payloads 숫자 범위 설정
아까 문제에서 0~9999까지를 비밀번호 범위로 줬으니까
저기 위에
FROM 에는 0
TO 에는 9999
STEP 에는 1을 (얼마씩 증가시킬건지를 묻는 빈칸)
써주면 된다.
이렇게 다 해줬으면 맨 위의
Start attack을 눌러준다.
참고로 시간이 매우매유매ㅜㅇ맹매ㅜㅇ매우매우 오래 걸린다...
인내심을 가지고 기다리다보면 된다...
(급한 분들은 7000~8000대를 먼저 해보길 바란다.)
이렇게 키값을 얻어냈다!
