Hacking60 [wargame.kr] Question 5. WTF_CODE 문제 This is another programming language. Can you read this source code? 특정 프로그래밍 언어이다 이 소스코드를 읽을 수 있는가? 풀이 문제 진입 시 source code.ws 파일이 제공되며 그 외 특별한 정보가 더 있지는 않는걸로 확인된다 해당 소스코드를 분석해보자. Source_code.ws 파일을 워드패드를 통해 실행 시 아무런 내용이 없는걸 확인할 수 있다 Ctrl + a 를 통해 공백으로 내용이 채워져 있는걸 확인할 수 있다 프로그래밍 언어, 공백, ws확장자 라는 정보를 기반으로 관련 자료를 찾아보자. White space 라는 언어를 위키백과를 통해 찾을 수 있었다 난해한 프로그래밍 언어, 공백으로 구성, ws약자 제공된 정보와 일치하.. 2021. 6. 23. [wargame.kr] Question 4. Login filtering 문제 I have accounts. but, it's blocked. can you login bypass filtering? 계정이 차단된 경우, 우회하여 접속이 가능한가? 풀이 문제 접근 시 로그인 폼이 주어지고 하단의 get source 를 통해 해당 페이지의 source 코드를 볼 수 있는것으로 확인된다. get source 최 하단에 guest의 ID, Passwrod 정보가 주어지며, 해당 사용자로 로그인시 차단된 계정의 사용자로 확인된다. Source code 분석 시 mysql Database 환경을 확인할 수 있다 mysql_real_escape_string() 함수를 통해 id와 ps값을 받아오고 있음으로 SQL Injection으로 해결할 수 있는 문제는 아닌것으로 사료된다 ID : .. 2021. 6. 23. [wargame.kr] Question 3. QRcode puzzle 문제 javascript puzzle challenge just enjoy! 자바스크립트 퍼즐을 즐겨보자! 풀이 문제에 돌입하자QR code가 퍼즐로 꼬여있는걸 확인할 수 있다. 시간을 들여 퍼즐을 풀수도 있지만, 개발자 도구를 통해 퍼즐을 풀어보자. 개발자 도구(F12) -> Sources 탭으로 이동하면 해당 페이지의 소스코드를 볼 수 있다. .attr() 함수는 jquery의 속성을 제어하는 함수이며 unescape()함수의 경우 escape를 통해 만들어진 URL을 decoding 하는 함수이다. 개발자 도구(F12) -> Console 탭으로 변수 정보들을 간략하게 확인해볼 수 있다 unescape('.%2f%69%6d%67%2f%71%72%2e%70%6e%67') 함수 값을 입력 시qr.png.. 2021. 6. 22. [wargame.kr] Question 2. Flee button 문제 Flee button, 도망다니는 Button을 누를 수 있는지의 대한 질문. 풀이 문제 접근 시 화면에 click me! 버튼이 보인다, 누르려고 마우스로 다가가자 지속적으로 도망다니는 버튼을 확인할 수 있다. 개발자 도구(F12) -> Ctrl + Shift + c 입력 시 모든 동적 요소들을 멈추게 할 수 있다, 이를 기반으로 click me! 버튼을 누르고 Elements 탭으로 이동한다. click me! 의 소스코드 확인 시 onclick=”window.location=’?key=d1e8”; 함수를 확인할 수 있다 버튼을 누를 경우 해당 URL로 이동하는 것 으로 추측되며 직접 URL을 수정하여 접속을 시도한다. URL 접속 시 Flag 값이 출력되며 초기 페이지에 해당 값을 제출하면 통.. 2021. 6. 22. [wargame.kr] Question 1. already got 문제 Can you see HTTP Response header? HTTP의 Response Header를 볼수 있는지의 대한 질문 풀이 문제 접근 시 이미 key값을 받았다는 메시지가 출력, Server로부터 이미 key를 전달받았다는 의미로 해석할 수 있다, 개발자 도구를 통해 Response를 확인해본다. [참고] 개발자 도구(F12) Web Browser별로 지원되는 개발자를 지원하는 다양한 도구들의 집합, 개발자 도구를 활용시 HTML, CSS, JavaScript 등의 구조 체계, 스타일, Web site debugging 등 다양한 방면으로 활용할 수 있다. 개발자 도구(F12) -> Network 탭 실행한 뒤 새로고침(F5) 하면 Server로부터 전달받은 Respose Header를 통.. 2021. 6. 22. XSS(Cross-Site-Scripting) Stored_Cookie, Session XSS(Cross-Site-Scripting) Stored_Cookie 악의적인 스크립트 코드가 데이터베이스에 저장되어 저장된 코드의 내용을 확인한 사용자의 PC에 스크립트 코드가 실행되는 공격. Stored 공격자가 서버(게시판)에 스크립트를 삽입하여 저장, 클라이언트가 해당 게시물을 읽을 경우 스크립트가 실행되어 Cookie정보, 악성코드 유입, 랜섬웨어 등 다양한 공격에 활용되는 방식. 1. XSS(Cross-Site-Scripting) Stroed_Cookies(low) 이번에는 Cookie값에 스크립트 코드를 인젝션하여 XSS를 실행하는 내용의 시나리오를 진행해본다. 좋아하는 영화 장르를 선택하면 그에 따른 결과를 출력해주는 페이지로 확인된다. Burp suite 를 통해 패킷을 캡쳐할 경우 g.. 2021. 6. 21. 이전 1 ··· 5 6 7 8 9 10 다음
