접근통제 매커니즘을 깨고 이 리스트에 없는 디렉터리의 자원으로 접근하라는 내용의 미션이다.
예로 나온 것이 WEB-INF/spring-security.xml이므로, 이 곳으로 접근해보도록 하자.
현재 디렉터리는 아래와 같다.
Burp Suite를 켜고 첫 번째 파일을 선택한 후, View File 버튼을 누르면, Parameter가 다음과 같이 구성된다.
File이라는 인자에 위에서 선택한 파일명이 들어가는데, 이것을 WEB-INF/spring-security.xml로 바꿔야 한다.
현재 디렉터리로부터 상대적으로 아래와 같이 이동시킬 수 있겠다.
위에서 알아본 경로로 고쳐넣은 후, Intercept를 풀어보자.
축하 메시지를 볼 수 있다.
아래로 좀 더 내리면, spring-security.xml의 내용을 볼 수 있다.
일부만 캡쳐했다.
Clear
'[Wargame Write-up] > WebGoat' 카테고리의 다른 글
| [WebGoat] [Injection Flaws] Blind Numeric SQL Injection (0) | 2017.03.20 |
|---|---|
| [WebGoat] [Malicious Execution] Malicious File Execution (2) | 2017.01.12 |
| [WebGoat] [AJAX Security] LAB: Client Side Filtering (0) | 2016.12.29 |
| [WebGoat] [AJAX Security] LAB: DOM-Based cross-site scripting (0) | 2016.12.29 |
| [WebGoat] [Injection Flaws] Log Spoofing (0) | 2016.12.29 |
