문제연습/webhacking.kr(13)
-
old-29_풀이
본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. old-29_풀이 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com Webhacking.kr old-29번 문제풀이 이번 문제는 Bind SQL injection 취약점을 아용하여 테이블 정보를 유출하는 문제입니다. 기존 bind 문제와는 다르게 직접 python script를 짜지 않아도 되니 머리 식히는 용도로 푸시면 좋을 것 같습니다. 1. 접속 화면 2. Exploit!!! 파일 업로드를 이용하여 플래그를 추출해야 하는 문제인 것으로 확인됩니다. 몇 번 테스트를 진행해 본 결과 php와 같은 확장자 ..
2021.12.25 -
old-2_풀이
본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. old-2_풀이 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com Webhacking.kr old-2번 문제풀이 이번 문제는 Bind SQL injection 취약점을 아용하여 계정 정보를 유출시키는 문제입니다. 접근 논리는 간단하나 그 과정에서 쓰이는 코드 때문에 난해하게 보일 수 있다는 점 양해 부탁드립니다. 1. 접속 화면 화면 소스코드를 보니 admin.php 경로에 대한 언급이 존재합니다. 해당 파일의 정확한 경로를 모르기 때문에 일단 하위 경로로 url을 넣었더니 다음과 같은 창이 확인되었습니다. ..
2021.06.23 -
old-47_풀이(보류)
본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. old-47_풀이(보류) 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com Webhacking.kr old-47번 문제풀이(보류) 이번 문제는 SMTP 프로토콜 분석을 통한 Mail header injection 공격을 수행할 수 있는지를 확인해보는 문제였습니다만... 운영상의 문제로 일시적으로 풀이를 중단하게 되었습니다. 일단 제가 분석한 최대한의 정보를 여기에 기록해놓도록 하겠습니다. 1. 접속 화면 아무런 코드도 없고 그냥 입력 폼과 전달 버튼만 존재하며, 해당 버튼을 눌러보면 별 키워드가 될만한 내용이..
2021.06.23 -
old-19_풀이
본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. old-19_풀이 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com Webhacking.kr old-19번 문제풀이 이번 문제는 쿠키, 세션 값 생성 과정에서 발생하는 논리 모순을 이용하는 문제입니다. 잘못된 쿠키, 세션 값 생성 알고리즘을 이용하는 것은 관리자로 하여금 안전하다는 잘못된 인식을 만드는 것뿐만 아니라 시스템의 잠재적인 위험성에 노출되게 하는 것이므로 매우 위험한 취약점들 중 하나입니다. 그럼 오늘의 문제 풀이를 진행해 보도록 하겠습니다. 1. 접속 화면 아무 설명 없이 그냥 화면에 로그인 폼 ..
2021.06.22 -
old-21_풀이
본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. old-21_풀이 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com Webhacking.kr old-21번 문제풀이 이번 문제는 Bind SQL injection를 통한 비밀번호를 유추해내는 문제입니다. 비밀번호 유출을 위해 burpsuite의 자동화 기능을 사용할 수 있지만 코딩 연습을 위해 파이썬을 이용하여 풀이 진행하도록 하겠습니다. 1. 접속 화면 접속 화면을 확인해 보니 로그인 폼 하나 존재합니다. 간단하게 SQL injection을 시도하여 서버 반응을 확인해보니 다음과 같았습니다. 거짓이면 log..
2021.06.12 -
old-12_풀이
본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. old-12_풀이 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com Webhacking.kr old-12번 문제풀이 이번 문제는 웹 소스코드 난독화 기법을 다룬 문제였습니다. 여러 가지 난독화 기법이 존재하지만 이 문제에서 다룬 난독화 기법은 상당히 재밌는 방식인 것 같습니다. 그럼 오늘의 문제 한번 열어보겠습니다. 1. 접속 화면 자바스크립트 도전이라는 영어 문구가 화면에 표시되어 있습니다. 해당 웹 소스코드를 확인하면 다음과 같이 이상한 코드가 들어가 있음을 알 수 있습니다. 해당 코드를 잘 보시면 태그로 ..
2021.06.10