본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. ​모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. old-21_풀이 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com Webhacking.kr old-21번 문제풀이 이번 문제는 Bind SQL injection를 통한 비밀번호를 유추해내는 문제입니다. 비밀번호 유출을 위해 burpsuite의 자동화 기능을 사용할 수 있지만 코딩 연습을 위해 파이썬을 이용하여 풀이 진행하도록 하겠습니다. 1. 접속 화면 접속 화면을 확인해 보니 로그인 폼 하나 존재합니다. 간단하게 SQL injection을 시도하여 서버 반응을 확인해보니 다음과 같았습니다. 거짓이면 log..

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. CodeGate 2018 - BaskinRobins31 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com CodeGate 2018 :: BaskinRobins31 Pwnable 1. 파일 정보 2. 실행 화면 3. 헥스 레이 분석을 통한 디컴파일 코드 해당 코드를 확인해보니 hint는 ROP라고 적혀 있습니다. 기본적으로 공격을 시행하기 위해서는 오버플로가 발생할만한 입력 부분이 존재해야 합니다. (추가적으로 memory leak도 가능하면 쉘따기가 수월해지겠죠!) 일단 오버플로 취약점이 발생하는 부분을 확인해..

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. SECCON Quals 2015 - rock_paper_scissors 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com SECCON Quals 2015:: rock_paper_scissors - apk Reversing - 1. 파일정보 특별한 권한이나 악성파일로 보이지 않으며 직접 설치해본 결과 가위바위보 게임을 실행하는 파일입니다. 직접 실행해볼 경우 이기면 +1점을, 비기거나 지면 0점을 얻습니다. 2. 디컴파일 분석 분석 환경상 cmd 및 일부 경로 접근에 대한 권한이 제한되어 있어 다른 자바 디컴파일..

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. old-12_풀이 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com Webhacking.kr old-12번 문제풀이 이번 문제는 웹 소스코드 난독화 기법을 다룬 문제였습니다. 여러 가지 난독화 기법이 존재하지만 이 문제에서 다룬 난독화 기법은 상당히 재밌는 방식인 것 같습니다. 그럼 오늘의 문제 한번 열어보겠습니다. 1. 접속 화면 자바스크립트 도전이라는 영어 문구가 화면에 표시되어 있습니다. 해당 웹 소스코드를 확인하면 다음과 같이 이상한 코드가 들어가 있음을 알 수 있습니다. 해당 코드를 잘 보시면 태그로 ..

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. old-24_풀이 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com Webhacking.kr old-24번 문제풀이 이번 문제는 취약한 인증과 쿠키에 대한 지식을 묻고 있습니다. 잘못된 검증 로직으로 인한 취약점을 다룬 문제이니 꼭 한번 풀어보시는 것을 추천드립니다. 1. 접속 화면 접속 컴퓨터의 ip 정보와 접속 환경 정보가 화면에 출력됨을 알 수 있습니다. - 소스코드 - view-source - php 코드 부분 - 코드 내용을 요약하자면, ip 필터를 거친 후 접속 ip를 127.0.0.1로 인식하게 하..

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. old-38_풀이 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com Webhacking.kr old-32번 문제풀이 이번 문제는 웹 서버에 기록되는 로그 정보를 조작하는 문제입니다. 기본적으로 burp suite와 같은 패킷 조작툴의 사용법을 숙지하고 있으면 편했을 것이라 생각됩니다. 1.접속화면 일단 해당 페이지의 소스 코드를 확인해 보도록 하겠습니다. 특별할 것 없이 사용자가 입력한 데이터를 받아서 넘기는 역할밖에 없습니다. 또한, 주석으로 admin.php 링크를 숨겨 놓은 게 보이므로 해당 링크로 이동해..