본문 바로가기

wargame/webhacking.kr

(20)
web hacking.kr 23번 문제 web hacking.kr 23번 문제 풀이 xss 를 하기 위해 확인하는 를 입력하는 문제입니다. 여러번 입력을 하다 보면 문자열이 입력 되면 no hack을 출력합니다.즉 일정 문자를 필터링 하는것이 아니라 문자가 이어져 나오는 즉 문자열을 필터링 한다는 것을 알 수 있습니다. 이 필터를 우회 하는 방법으로는 %00 이 있는데요 null 값을 문자와 문자사이에 넣어주면 됩니다.html 에서는 %00 을 인식 하지 못하고 필터에서는 %00 을 인식해서문자열이 아닌걸로 인식 하는것 같습니다. http://webhacking.kr/challenge/bonus/bonus-3/index.php?code=%3C%00%00s%00c%00r%00i%00p%00t%00%3E%00a%00l%00e%00r%00t%00(..
webhacking.kr level4 webhacking.kr level4 풀이 이렇게 생긴 문장을 볼 수 있습니다. webhacking.kr 쉬운문제에 많이 등장하는 base 64 인거 같습니다. 바로 decode 를 해줍니다. http://www.convertstring.com/ko/EncodeDecode/Base64Decode 자 그러면 c4033bff94b567a190e33faa551f411caef444f2는 무엇일까요 이것도 역시 글자 수를 보시면 40 글자라는 것을 알 수 있습니다 .40글자로 encoding 되는 것은 sha1 입니다. 저 문장을 다시 sha1 으로 decode 해보겠습니다. 동일하게 글자수가 40 입니다 . 그래서 한번더 해보도록 합시다. 이렇게 test라는 문자를 볼 수 있습니다. password 에 test..
webhacking.kr level1 webhacking.kr 1번 문제 풀이 처음 페이지에 들어가면 이렇게 index.phps 라고 나옵니다. index.phps 는 음 webhacking.kr 에서 제공하는 하나의 힌트? 라고 해야하나 그냥 간단하게 url 뒤에 index.phps 를 입력하면 php 코드를 볼 수 있습니다. http://webhacking.kr/challenge/web/web-01/index.phps 자 제가 빨간 색으로 표시한 부분을 해석하면 됩니다 .cookie[user_lv] 이 6을 넘으면 안되고 5이상일 때 solve를 얻을 수 있습니다 .(쿠키 변조) 자 이렇게 저는 5.5 로 변경했습니다. 저장하시고 f5를 눌러주시면 문제를 해결 할 수 있습니다.
webhacking.kr 회원 가입 오늘은 webhacking.kr 회원가입을 해보도록 하겠습니다. 잘 보이지 않지만 일단 처음 화면에는 회원가입 버튼이 없습니다. 마우스 오른쪽 클릭 or F12 를 클리하시면 페이지 소스를 확인 하실 수 있습니다. 잘 안보이는데 원래 있어야할 회원 가입을 하는 소스가 주석 처리가 되어 있습니다. 저 주석 처리된 코드를 해석해 보면 회원가입 버튼을 눌렀을 때사용자를 정의된 주소로 이동시킵니다. 그래서 바로 마우스로 표시한 주소를 아래와 같이 넣어주기만 하면 됩니다. http://webhacking.kr/join/includ2_join__frm__0001.php?mode=5d83c9633a5f734ac61e6b0643f9cf30 그럼 아래와 같은 싸이트로 이동하게 됩니다. ID와 PW ,EMAIL을 입력합니..