CTFLearn 109 - Don't Bump Your Head(er) Write Up

 


    CTFLearn'un 109 id'li Web / Hard kategorisindeki Don't Bump Your Head(er) challenge'nın çözümünü göstereceğim.


Sorunun Görseli:


Siteye giriş yapıyoruz ve karşımıza user agent sorgusunun doğru olmadığını ve siteye erişim iznimizin olmadığına dair "Sorry, it seems as if your user agent is not correct, in order to access this website. The one you supplied is: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0" şeklinde mesaj geliyor. İlk olarak site kaynağına bakalım:


Sitenin kaynağını incelediğimizde verilen mesajın altında bir yorum satırı bırakılmış. <!-- Sup3rS3cr3tAg3nt --> yazısı bize mesajda da belirtilen user agent sorgusunu hatırlatıyor. Siteyi daha detaylı inceleyebilmek için Burp atalım.

 


 Burp'un verdiği sonuçta User-Agent: Mozilla/5.0 ibaresini görüyoruz. Sitede verilen hatayı hatırlayacak olursak bizim Mozilla/5.0 olarak kimliklendirildiğimizi görüyoruz. Bu farklı bir tarayıcıdan giriş yapan veya farklı bir sürüm Mozilla kullanan bir kullanıcı için değişiklik gösterebilir. Yapmamız gereken şey CTRL+R yapıp repeater sekmesini aktif etmek(Proxy kısmında text girdiğiniz yerde olmalısınız). User-Agent'ımızı Sup3rS3cr3tAg3nt olarak güncellemek ve "send" etmek. İşlemi başarılı bir şekilde gerçekleştirdiğimizde alttaki çıktıyı alıyoruz.

 


Verilen çıktıdan awesomesauce isimli siteden gelmediğimizi belirtiyor. Bu siteden yönlendirilmişiz gibi giriş yapmamız gerekiyor. Bu yüzden komut kısmına Referer: awesomesauce.com ibaresini ekleyip tekrar gönderiyoruz.



Görüldüğü gibi girişimizi sorunsuz bir şekilde gerçekleştirdik ve Here is your flag: flag{did_this_m3ss_with_y0ur_h34d} flagimize ulaştık.

 

Yorum Gönder

0 Yorumlar