Lab: Username enumeration via account lock 문제 풀이(WriteUp)

WEB hacking/PortSwigger

Roronoa 2025. 6. 28. 23:32

브루트 포스 공격을 통해 주어진 사용자 이름과 비밀번호로 로그인에 성공하면 문제가 해결된다.

로그인 페이지에 접근한 후 로그인 요청을 수행한다.

버프스위트 Intruder 기능을 사용하여 브루트 포스 공격을 시도한 결과 arkansas 계정만 로그인이 1분 지연이 되었다. 이를 통해 해당 계정이 존재하는 것을 유추할 수 있다.

password 브루트 포스 공격을 수행한다.

응답 결과에서 1분 지연에 대한 내용을 제외하고 확인한 결과 password가 tigger일 경우에만 아무런 에러 값이 존재하지 않는다.

arkansas:tigger로 로그인한 결과 로그인에 성공하여 문제를 해결하였다.

Lab: 2FA simple bypass 문제 풀이(WriteUp) (0)	2025.06.30
Lab: Broken brute-force protection, multiple credentials per request 문제 풀이(WriteUp) (0)	2025.06.29
Lab: Broken brute-force protection, IP block 문제 풀이(WriteUp) (0)	2025.06.27
Lab: Username enumeration via response timing 문제 풀이(WriteUp) (0)	2025.06.26
Lab: Username enumeration via subtly different responses 문제 풀이(WriteUp) (2)	2025.06.25

Roronoa

1. Wargame 문제들을 풀어보고 풀이는 공유하는 블로그입니다. 2. 해킹 우회기법 및 스킬을 공유하는 블로그입니다. 3. 취약점 분석 및 익스플로잇 방법 들을 공유하는 블로그입니다.

버퍼오버플로우, wargame, DreamHack, XSS, 취약점 분석, 시스템해킹, 취약점, 웹해킹, 워게임, WebHacking, 드림핵, CTF, 워 게임, tryhackme, SQL Injection, CSRF, web, 웹, 웹 해킹, 해킹,

Roronoa