분류 전체보기139 [wargame.kr] Question 9. DB is really GOOD 문제 What kind of this Database? you have to find correlation between user name and database. 사용자 이름과 데이터베이스간 상관관계를 통해 DB종류를 확인하는 문제 풀이 상단 그림은 문제 진입 시 초기 페이지 이며 USER 입력란을 통해 내용을 입력하면 하단 그림의 사이트로 접속된다. 입력폼에 내용을 입력하면 하단에 출력되는 식의 게시판이다. 개발자 도구(F12) -> Elements 를 통해 javascript의 내용을 확인해보니 admin 값은 입력될 수 없도록 막혀있는걸 확인할 수 있다. SQL Injection을 시도하기 위해서 다양한 구문을 추가하던중 ‘ or 1=1/* 을 입력시 해당 Fatal error 값이 출력됫다. 내.. 2021. 6. 28. [wargame.kr] Question 8. md5 password 문제 md5(‘value’, true); 풀이 문제 접근 시 password 입력폼과 소스코드를 볼 수 있는 get source 두개의 항목이 확인된다 get source를 통해 소스코드를 확인해보자. php 와 mysql로 구성된 소스코드를 분석하여 다음과 같은 결과를 얻을 수 있었다. 1) mysql_real_escape_string() 함수로 인해 SQL Injection 공격은 어렵다. 2) admin_password 의 password 값과 일치하면 Flag값을 출력받는다. 3) input 값은 md5($ps, true) 함수를 통해 md5 hash값으로 처리된다. 이때 호출된 md5() 함수의 경우 md5(변수, true) 값으로 구성되어 있을 경우 16자리 binary형태로 출력되며 이때 ‘.. 2021. 6. 28. 암호학 / 공개키(비 대칭키)암호 공개키 공개 키 암호 방식(public-key cryptography)은 암호 방식의 한 종류로 사전에 비밀 키를 나눠가지지 않은 사용자들이 안전하게 통신할 수 있도록 한다. 공개 키 암호 방식에서는 공개 키와 비밀 키가 존재하며, 공개 키는 누구나 알 수 있지만 그에 대응하는 비밀 키는 키의 소유자만이 알 수 있어야 한다. 공개 키는 보안 타협 없이 공개적으로 배포가 가능하다.[1] 공개 키 암호를 구성하는 알고리즘은 대칭 키 암호 방식과 비교하여 비대칭 암호라고 부르기도 한다. 키 배송 문제 대칭 암호를 사용하려면 송신사와 수신자가 대칭키(공유키, 비밀키)를 사전에 공유해야하는데 이때 중간에 공격자가 키를 가로채면 수신자는 복호화할 수 없다. 이를 극복하는 방법은 크게 4가지 방법이 있다. 1. 키의.. 2021. 6. 25. [wargame.kr] Question 7. strcmp 문제 if you can bypass the strcmp function, you get the flag. Strcmp 기능을 우회할 수 있다면 Flag를 찾을 수 있다. 풀이 문제 접근 시 password 입력 폼 및 source를 볼 수 있는 하이퍼링크가 확인된다. 우선 문제에서 제시된 strcmp 기능의 대해서 알아보자. [참조] strcmp() 함수 strcmp( string1, string2 ) 형식, php에서 사용되는 함수로 string1과 string2 을 비교한다 해당 인자는 문자열 형식이고 대소문자를 구분한다 문자열 대신 변수를 값으로 넣을 수 도 있다. 비교 결과는 다음과 같다 1) string1 > string2 : 음수값을 반환 (0보다 작은값) 2) string1 < string.. 2021. 6. 24. [wargame.kr] Question 6. Fly me to the moon 문제 javascript game. can you clear with bypass prevent cheating system? 자바 스크립트 게임, 부정행위 방지 시스템으로 해결할 수 있나요? 풀이 비행기 게임이 확인된다 마우스를 따라 움직이는 비행기와 무작위로 좁혀져 오는 기둥이 있고 기둥에 닿을 경우 게임오버가 된다 31337 SCORE 를 달성해야 한다는 내용이 출력된다. 개발자 도구(F12) -> Elements 탭으로 진입하여 태그의 내용을 확인한다. 의 하단 내용을 확인 시 난독화된 javascript code를 확인할 수 있다 난독화된 javascript code를 해독할 수 있는 사이트를 활용해야한다. Online JavaScript Beautifier site : https://beaut.. 2021. 6. 24. [wargame.kr] Question 5. WTF_CODE 문제 This is another programming language. Can you read this source code? 특정 프로그래밍 언어이다 이 소스코드를 읽을 수 있는가? 풀이 문제 진입 시 source code.ws 파일이 제공되며 그 외 특별한 정보가 더 있지는 않는걸로 확인된다 해당 소스코드를 분석해보자. Source_code.ws 파일을 워드패드를 통해 실행 시 아무런 내용이 없는걸 확인할 수 있다 Ctrl + a 를 통해 공백으로 내용이 채워져 있는걸 확인할 수 있다 프로그래밍 언어, 공백, ws확장자 라는 정보를 기반으로 관련 자료를 찾아보자. White space 라는 언어를 위키백과를 통해 찾을 수 있었다 난해한 프로그래밍 언어, 공백으로 구성, ws약자 제공된 정보와 일치하.. 2021. 6. 23. 이전 1 ··· 6 7 8 9 10 11 12 ··· 24 다음
