300x250 정보보안95 모의해킹 문제풀이 - 5번(답 포함) - 써니나타스(SuNiNaTaS) // JavaScript, Packer 문제 분류 난이도 : 하 문제사이트에 접속하면 "Check Key Value"라는 메시지와 텍스트 입력 상자만 있다. 힌트가 없으니 F12[개발자도구] 를 통해 소스를 확인해보자 체크해야하는 키 값이 힌트에 나열된 숫자값인듯 하다 ㅋㅋㅋ 값 그대로 넣었으나 당연하게도 안됨... 해시도 아닌거같고,, 난수도 아닌거같고 도무지 뭘 하라는지 모르겠어서 소스코드를 뒤져봤다. 코드내에 자세히 살펴보면 p,a,c,k,e,r 이라는 단어가 있다 사실 자바스크립트가 생소해서 저 단어를 보고도 뭔지 몰랐는데 자바스크립트의 기능중에 패커라는 기능으로 소스코드를 축소함과 동시에 보호하기 위한 기능이라고 한다. 즉 위에 packer라는 문자열이 들어간 코드는 패킹된 코드로 보호되어야 하는 소스코드라는 의미니 저 코드를 언패킹.. 2022. 2. 3. 모의해킹 문제풀이 - 4번(답 포함) - 써니나타스(SuNiNaTaS) // CTF, Web Hacking, HTTP헤더 문제 분류 난이도 : 중..? 4번 문제는 웹 통신간에 사용되는 패킷의 구조에 대한 이해가 필요하다. 물론 나도 공부를 안 한 지 오래돼서 다 까먹어버려 가지고 위 문제를 어떻게 해결해야 할지에 대해 애를 좀 먹었다. [F12] 키로 개발자 도구를 통해 소스를 살펴보면 힌트가 나와있는데 포인트를 50까지 올리라는 힌트와 SuNiNaTaS 두 가지 힌트가 있다 그리고 plus 버튼을 눌러 포인트를 올려보면.. 25 이상은 올라가지 않음을 알 수 있다. 이런 경우 패킷을 살펴볼 필요가 있다고 생각한다. 패킷 변조가 가능한 버프 스위트[Burp Suite] 를 통해 패킷을 분석해보자 프락시에 잡힌 패킷에 [total] 값이 있는데 이 값이 우리가 plus를 눌러서 증가시킨 값이다 25까지 증가되다가 그 이상 .. 2022. 1. 28. 모의해킹 문제풀이 - 3번(답 포함) - 써니나타스(SuNiNaTaS) // CTF, Web Hacking,관리자 페이지 문제분류 난이도 : 하 문제 사이트에 접속하면 대뜸 화면에 하얀 글씨로 "Notice 보드에 기사를 작성하라" 는 문구만 나와있다. 혹시 몰라서 페이지의 소스코드를 살펴봐도 힌트나 별다른 특이점이 없다. 진짜로 페이지에 까만 화면만 띄우는 사이트다. 써니나타스 홈페이지에는 위에 나와있는 별도의 메뉴가 존재하는데 이중 글을 작성가능한 게시판 항목은 [NOTICE] 와 [FREE] 두 곳만 글 작성이 가능한 게시판이다. 먼저 [NOTICE] 게시판을 둘러봤는데 관리자용 게시판인듯 글 작성 권한이 없었다. [FREE] 게시판은 자유게시판인지 일반 사용자들도 글 작성 권한이 있었다. 원래 URL 변조를 통해 관리자 즉 [NOTICE] 게시판 사용은 막혀있어야 하지만 느낌상 뚫려있을 듯 하다. 위 [FREE] 게.. 2021. 8. 15. 모의해킹 문제풀이 - 2번(답 포함) - 써니나타스(SuNiNaTaS) // CTF, Web Hacking, 자바스크립트 인증우회 문제분류 난이도 : 하 Level 2번 문제에 들어와보니 ID와 PW값 입력 화면을 보여준다. 누가 봐도 계정값을 이용하라는 의미인것 같다. Injection을 해야되는 건지 아니면 인증우회가 필요한건지 크롬을 통해 소스를 한번 살펴보자 힌트가 적혀있는데 ID와 PW가 동일하다는 뜻일까? 먼저 값을 아무렇게나 입력해보자 ID : 1234 PW : 1234 값을 동일하게 입력해보면 alert 메시지가 뜨는데 여기서 ID와 PW를 다르게 입력해보면 alert 메시지가 발생하지 않는다 즉 ID와 PW 값이 같다는 힌트와 메시지가 발생하는 순간에 인증우회를 해보자. 버프스위트를 통해 헤더를 확인해본 결과 자바스크립트 인증우회를 위한 문제인것같다. 아래 ID 와 PW값이 전달되는걸 볼 수 있는데 이 값을 변조해주.. 2021. 8. 15. 모의해킹 문제풀이 - 1번(답 포함) - 써니나타스(SuNiNaTaS) // CTF, Web Hacking, 암호 유추 문제분류 난이도 언어 공부를 많이 안해놔서 이 언어를 보고 웹 언어인거는 직감을 했는데 뭘까,,, 자바스크립트인가 Jinja 인가... 헷갈렸다. 검색해보니까 "JSP" 라고 하는데 공부를 어지간히 안하긴 했나보다 JSP가 뭔지를 모르겠다. ㅋㅋㅋ 아무튼 코드만 대충 해석을 좀 해보자면 str이라는 변수 요청 일듯하다. JSP 라는 언어가 Java에서 나온 API 같은 느낌으로 서버 요청용 Java Api(서블릿) 이라는 기능이라고 한다. 즉 서버에 요청하는 HTTP 헤더를 Java로 짠 듯 하니 If not str="" Then 이거는 str을 요청해서 확인해봤을때 Null이 아니라면? 이겠지? 코드를 살펴본 바로는 아직 모르는 str 값을 넣으면 str이 admin이 되어야 하는 듯 하다. 이제 문제.. 2021. 7. 31. 드림핵(DreamHack) - 커맨드 인젝션 -1, Command Injection-1(풀이) 해당 문제는 드림핵의 커맨드 인젝션-1번 문제입니다. command injection-1 Command injection 말 그대로 명령어 삽입 공격인 것 같은데 이 문제에서 해당 기법을 처음 접해봤습니다. SQL Injection 처럼 명령 구문을 삽입하는 공격이리라,, 하고 풀이해봤습니다. 사이트는 /index, /ping 두 개의 URL이 존재합니다. 문제를 풀기 전 함께 제공된 app.py를 살펴보겠습니다. #!/usr/bin/env python3 # app.py import subprocess from flask import Flask, request, render_template, redirect from flag import FLAG APP = Flask(__name__) @APP.route.. 2021. 7. 21. 도커 가상화 리눅스 환경에서 파이썬 버전 변경(Ubuntu 18.04) 내 NAS 서버에서 Docker로 사용되고 있는 VS code서버는 가상화 리눅스 환경이다 VSCode처럼 보이지만 실상은 리눅스.. 버전은 Ubuntu 18.04 LTS 버전이고 파이썬 패키지 파일들 버전이 너무 낮아서 파이썬을 최신버전으로 변경하려고 한다. 먼저 리눅스 내에서 파이썬 버전 확인 명령어이다. 파이썬 버전 확인 명령어(Ubuntu 18.04 LTS) python -V >> python 3.6.9 python -V 명령어를 입력해 확인해보면 버전이 나온다. 3 버전을 따로 설치하지 않았으면 구버전 리눅스의 경우는 python2 버전이 default이다. 현재 우분투 패키지 내에서 가장 최신 버전의 파이썬은 3.8 버전으로 확인된다. 파이썬 공식 홈페이지에서는 21년 6월 기준 현재 3.9... 2021. 6. 20. 군대에서 nmap 으로 NAS 서버 원격 접속하기 본가에 설치한 NAS 서버 그리고 군대에 몸이 팔린 나.. NAS 전원 스케줄링을 통해 1일 1 재부팅 설정은 해뒀지만 아무래도 NAS전원이 다른 이유로 종료되어버리면 물리적으로 제가 다시 켤 수 있는 방법이 없었고 아뿔싸 집에 정전이 났고 NAS에 전원은 들어왔지만 도메인이 내부 도커에서 Nginx 웹서버로 돌아가고 있었는데 이 도커는 그대로 다운된 상태였다는 겁니다 외부 접속이 전적으로 도커의 Nginx서버로만 가능한 상태라 NAS를 사용하지 못하고 있었습니다만 군대 휴가는 몇달이나 남은 상태고 마침 AWS에 가상 머신을 돌려둔 게 있었고 nmap으로 해당 도메인 포트 조회가 된다는게 기억이 났습니다. Ubuntu에서 nmap을 설치해 제 서버의 도메인을 조회해봅시다. 어떤 상황인지는 당시에 몰랐지만.. 2021. 6. 7. 시놀로지 나스에서 Visual Studio Code 사용하기(Docker, 웹 서버, 군대) NAS 서버 후기 개인서버가 갖고싶어서 만든 시놀로지 나스 서버(NAS DS420+) -nginx 웹 서버 -duckdns 도메인 연결 -포트포워딩 -내부 라우터 구축 -하드웨어 설치 융합정보보안 학과라 네트워크나 시스템 보안 등 다양한 학문을 함께 배우는 영광을 누렸으나 실상 대학교 적응 hobbylists.tistory.com NAS 서버는 종류도 다양하고 구축 환경이나 지원되는 소프트웨어도 다양합니다. 이어 용도나 운영 목적도 다를 테고요 저 같은 경우에는 군대에서 보안 공부를 할 때 코딩을 할 컴파일러나 해킹 실습을 위한 가상의 리눅스 운영체제가 필요했습니다. 제 NAS는 Synology DS420+ 제품으로 램 증축은 가능했지만 아무래도 GUI 환경의 가상 머신을 사용하는 건 좀 힘든 스펙이었기.. 2021. 4. 3. 개인서버가 갖고싶어서 만든 시놀로지 나스 서버(NAS DS420+) 저는 정보보안학과 전공 학생이며 예전부터 개인 서버를 만드는 데에 흥미가 있었고 웹 서핑도중 NAS라는 개념의 개인 서버가 있다는 걸 알게 되었습니다. 군대에 가게 되었고 동시에 나만의 학습용 서버가 필요하다는 욕심이 생겼고 구매해서 구축해보게 되었습니다. 물론 네트워크 지식이 얕고 희박한 저에게 너무나 벅찬 과정이었으나 막상 만들어보니 구축 과정이나 지식이 저에게 도움이 많이 되었습니다. 돈을 더 들이거나 덜 들였으면 각각의 장단점이 더 명확했을 테지만 그럼에도 저는 제 수중에 꽤 많은 돈을 서버 구축에 지불했습니다. 서버용 HDD, nvme 캐시 메모리, 시놀로지 4 베이짜리 서버 다 합하니 100만 원 초반 가량이 나온 거 같은데 돈을 꽤 들였습니다 제 수준에서,, NAS란? 약자로는 NAS(Net.. 2021. 3. 25. 이전 1 ··· 4 5 6 7 8 9 10 다음 300x250
