본문 바로가기

Web Hacking/Wargame

Webhacking.kr : old-47


< 문제 해결 >


그림 1


그림 1과 같이 개발자 도구를 통해 input type=text를 textarea 로 변경하면, text 입력 시 줄바꿈을 시행할 수 있다.  


그림 2


그림 2 와 같이 Cc: "이메일 주소"를 통해 mail header injeciton을 수행한다. 


그림 3


그림 3그림 2와 마찬가지로, mail header injeciton을 위한 기능이다. Bcc는 숨은 참조라고 불린다. 



그림 4


그림 3에서 request 한 패킷을 버프슈트를 통해 잡아보았다. %0D%0A는 CRLF 즉 줄바꿈을 의미한다. 


그림 5

그림 5와 같이 플래그를 획득하였다. 



한줄 평 : Mail header injection.. 전혀 몰랐던 거다.. 






< 참고 >




Analyzing a Forged Email Message: How to Tell It Was Forged?

In our previous posting, we looked at exactly how Spammers and hackers can send forged email — how its is possible and how it is done.  Therein, we gave an example how one could send an email…
