WEB hacking/PortSwigger

Lab: Username enumeration via account lock 문제 풀이(WriteUp)

Roronoa 2025. 6. 28. 23:32
반응형

문제 설명

브루트 포스 공격을 통해 주어진 사용자 이름과 비밀번호로 로그인에 성공하면 문제가 해결된다.

문제 설명

문제 풀이

로그인 페이지에 접근한 후 로그인 요청을 수행한다.

로그인 요청 수행

 

버프스위트 Intruder 기능을 사용하여 브루트 포스 공격을 시도한 결과 arkansas 계정만 로그인이 1분 지연이 되었다. 이를 통해 해당 계정이 존재하는 것을 유추할 수 있다.

브루트 포스 공격 진행

 

password 브루트 포스 공격을 수행한다.

password 브루트 포스 공격 수행

 

응답 결과에서 1분 지연에 대한 내용을 제외하고 확인한 결과 password가 tigger일 경우에만 아무런 에러 값이 존재하지 않는다.

 

 

arkansas:tigger로 로그인한 결과 로그인에 성공하여 문제를 해결하였다.

문제 해결

 

반응형