300x250 분류255 모의해킹 문제풀이 - 5번(답 포함) - 써니나타스(SuNiNaTaS) // JavaScript, Packer 문제 분류 난이도 : 하 문제사이트에 접속하면 "Check Key Value"라는 메시지와 텍스트 입력 상자만 있다. 힌트가 없으니 F12[개발자도구] 를 통해 소스를 확인해보자 체크해야하는 키 값이 힌트에 나열된 숫자값인듯 하다 ㅋㅋㅋ 값 그대로 넣었으나 당연하게도 안됨... 해시도 아닌거같고,, 난수도 아닌거같고 도무지 뭘 하라는지 모르겠어서 소스코드를 뒤져봤다. 코드내에 자세히 살펴보면 p,a,c,k,e,r 이라는 단어가 있다 사실 자바스크립트가 생소해서 저 단어를 보고도 뭔지 몰랐는데 자바스크립트의 기능중에 패커라는 기능으로 소스코드를 축소함과 동시에 보호하기 위한 기능이라고 한다. 즉 위에 packer라는 문자열이 들어간 코드는 패킹된 코드로 보호되어야 하는 소스코드라는 의미니 저 코드를 언패킹.. 2022. 2. 3. 모의해킹 문제풀이 - 4번(답 포함) - 써니나타스(SuNiNaTaS) // CTF, Web Hacking, HTTP헤더 문제 분류 난이도 : 중..? 4번 문제는 웹 통신간에 사용되는 패킷의 구조에 대한 이해가 필요하다. 물론 나도 공부를 안 한 지 오래돼서 다 까먹어버려 가지고 위 문제를 어떻게 해결해야 할지에 대해 애를 좀 먹었다. [F12] 키로 개발자 도구를 통해 소스를 살펴보면 힌트가 나와있는데 포인트를 50까지 올리라는 힌트와 SuNiNaTaS 두 가지 힌트가 있다 그리고 plus 버튼을 눌러 포인트를 올려보면.. 25 이상은 올라가지 않음을 알 수 있다. 이런 경우 패킷을 살펴볼 필요가 있다고 생각한다. 패킷 변조가 가능한 버프 스위트[Burp Suite] 를 통해 패킷을 분석해보자 프락시에 잡힌 패킷에 [total] 값이 있는데 이 값이 우리가 plus를 눌러서 증가시킨 값이다 25까지 증가되다가 그 이상 .. 2022. 1. 28. 모의해킹 문제풀이 - 3번(답 포함) - 써니나타스(SuNiNaTaS) // CTF, Web Hacking,관리자 페이지 문제분류 난이도 : 하 문제 사이트에 접속하면 대뜸 화면에 하얀 글씨로 "Notice 보드에 기사를 작성하라" 는 문구만 나와있다. 혹시 몰라서 페이지의 소스코드를 살펴봐도 힌트나 별다른 특이점이 없다. 진짜로 페이지에 까만 화면만 띄우는 사이트다. 써니나타스 홈페이지에는 위에 나와있는 별도의 메뉴가 존재하는데 이중 글을 작성가능한 게시판 항목은 [NOTICE] 와 [FREE] 두 곳만 글 작성이 가능한 게시판이다. 먼저 [NOTICE] 게시판을 둘러봤는데 관리자용 게시판인듯 글 작성 권한이 없었다. [FREE] 게시판은 자유게시판인지 일반 사용자들도 글 작성 권한이 있었다. 원래 URL 변조를 통해 관리자 즉 [NOTICE] 게시판 사용은 막혀있어야 하지만 느낌상 뚫려있을 듯 하다. 위 [FREE] 게.. 2021. 8. 15. 모의해킹 문제풀이 - 2번(답 포함) - 써니나타스(SuNiNaTaS) // CTF, Web Hacking, 자바스크립트 인증우회 문제분류 난이도 : 하 Level 2번 문제에 들어와보니 ID와 PW값 입력 화면을 보여준다. 누가 봐도 계정값을 이용하라는 의미인것 같다. Injection을 해야되는 건지 아니면 인증우회가 필요한건지 크롬을 통해 소스를 한번 살펴보자 힌트가 적혀있는데 ID와 PW가 동일하다는 뜻일까? 먼저 값을 아무렇게나 입력해보자 ID : 1234 PW : 1234 값을 동일하게 입력해보면 alert 메시지가 뜨는데 여기서 ID와 PW를 다르게 입력해보면 alert 메시지가 발생하지 않는다 즉 ID와 PW 값이 같다는 힌트와 메시지가 발생하는 순간에 인증우회를 해보자. 버프스위트를 통해 헤더를 확인해본 결과 자바스크립트 인증우회를 위한 문제인것같다. 아래 ID 와 PW값이 전달되는걸 볼 수 있는데 이 값을 변조해주.. 2021. 8. 15. 모의해킹 문제풀이 - 1번(답 포함) - 써니나타스(SuNiNaTaS) // CTF, Web Hacking, 암호 유추 문제분류 난이도 언어 공부를 많이 안해놔서 이 언어를 보고 웹 언어인거는 직감을 했는데 뭘까,,, 자바스크립트인가 Jinja 인가... 헷갈렸다. 검색해보니까 "JSP" 라고 하는데 공부를 어지간히 안하긴 했나보다 JSP가 뭔지를 모르겠다. ㅋㅋㅋ 아무튼 코드만 대충 해석을 좀 해보자면 str이라는 변수 요청 일듯하다. JSP 라는 언어가 Java에서 나온 API 같은 느낌으로 서버 요청용 Java Api(서블릿) 이라는 기능이라고 한다. 즉 서버에 요청하는 HTTP 헤더를 Java로 짠 듯 하니 If not str="" Then 이거는 str을 요청해서 확인해봤을때 Null이 아니라면? 이겠지? 코드를 살펴본 바로는 아직 모르는 str 값을 넣으면 str이 admin이 되어야 하는 듯 하다. 이제 문제.. 2021. 7. 31. 해킹 연습용 문제 풀이 워게임 사이트 모음(지속 업데이트 예정 2022-01-18 추가) 써니 가타스(Suninatas) 써니나타스 웹해킹, 포렌식, 리버싱, 암호학, 해킹 워게임 제공. www.suninatas.com 접속방법 : 회원가입 후 [Challenge]에서 워게임 풀이 후 [Auth]에 플래그 입력하면 문제풀이 완료 추천도 : ✦ ✦ ✦ ✦ ✧ 난이도 : 초심자가 입문하기에 좋은 난이도로 웹부터 포렌식 시스템, 네트워크 등 다양한 워게임이 모여있다. 군대 CTF 난이도가 써니나타스를 다 풀이했다면 본선 진출할 정도의 난이도라고 함. 드림핵(DreamHack) 해커들의 놀이터, Dreamhack 해킹과 보안에 대한 공부를 하고 싶은 학생, 안전한 코드를 작성하고 싶은 개발자, 보안 지식과 실력을 업그레이드 시키고 싶은 보안 전문가까지 함께 공부하고 연습하며 지식을 나누고 실력 향 .. 2021. 7. 31. 드림핵(DreamHack) - 커맨드 인젝션 -1, Command Injection-1(풀이) 해당 문제는 드림핵의 커맨드 인젝션-1번 문제입니다. command injection-1 Command injection 말 그대로 명령어 삽입 공격인 것 같은데 이 문제에서 해당 기법을 처음 접해봤습니다. SQL Injection 처럼 명령 구문을 삽입하는 공격이리라,, 하고 풀이해봤습니다. 사이트는 /index, /ping 두 개의 URL이 존재합니다. 문제를 풀기 전 함께 제공된 app.py를 살펴보겠습니다. #!/usr/bin/env python3 # app.py import subprocess from flask import Flask, request, render_template, redirect from flag import FLAG APP = Flask(__name__) @APP.route.. 2021. 7. 21. 도커 가상화 리눅스 환경에서 파이썬 버전 변경(Ubuntu 18.04) 내 NAS 서버에서 Docker로 사용되고 있는 VS code서버는 가상화 리눅스 환경이다 VSCode처럼 보이지만 실상은 리눅스.. 버전은 Ubuntu 18.04 LTS 버전이고 파이썬 패키지 파일들 버전이 너무 낮아서 파이썬을 최신버전으로 변경하려고 한다. 먼저 리눅스 내에서 파이썬 버전 확인 명령어이다. 파이썬 버전 확인 명령어(Ubuntu 18.04 LTS) python -V >> python 3.6.9 python -V 명령어를 입력해 확인해보면 버전이 나온다. 3 버전을 따로 설치하지 않았으면 구버전 리눅스의 경우는 python2 버전이 default이다. 현재 우분투 패키지 내에서 가장 최신 버전의 파이썬은 3.8 버전으로 확인된다. 파이썬 공식 홈페이지에서는 21년 6월 기준 현재 3.9... 2021. 6. 20. 군대에서 nmap 으로 NAS 서버 원격 접속하기 본가에 설치한 NAS 서버 그리고 군대에 몸이 팔린 나.. NAS 전원 스케줄링을 통해 1일 1 재부팅 설정은 해뒀지만 아무래도 NAS전원이 다른 이유로 종료되어버리면 물리적으로 제가 다시 켤 수 있는 방법이 없었고 아뿔싸 집에 정전이 났고 NAS에 전원은 들어왔지만 도메인이 내부 도커에서 Nginx 웹서버로 돌아가고 있었는데 이 도커는 그대로 다운된 상태였다는 겁니다 외부 접속이 전적으로 도커의 Nginx서버로만 가능한 상태라 NAS를 사용하지 못하고 있었습니다만 군대 휴가는 몇달이나 남은 상태고 마침 AWS에 가상 머신을 돌려둔 게 있었고 nmap으로 해당 도메인 포트 조회가 된다는게 기억이 났습니다. Ubuntu에서 nmap을 설치해 제 서버의 도메인을 조회해봅시다. 어떤 상황인지는 당시에 몰랐지만.. 2021. 6. 7. Java Script 기초 문법[변수,문법,주석] HTML이 마크업 언어라면 JavaScript는 객체(Object) 기반의 스크립트 언어이다 간략하게 웹 언어의 용도를 나눠보면 HTML -> 웹의 내용 작성(마크업) CSS -> 웹 디자인(스타일 시트) JavaScript -> 웹의 동작을 구현(객체 기반) 우리가 사용하는 대부분의 웹 브라우저에서는 자바스크립트 인터프리터가 내장되어 있으므로 별도의 인터프리터가 없어도 코딩이 가능하다. 예시코드) //test.html 위의 코드를 메모장에 입력한 뒤. html 확장자를 붙여 메모장 파일을 만든 후 그걸 웹 브라우저로 열게 되면 위는 각각 alert() 코드로 경고문이 띄워진 상태고 아래는 document.write() 코드로 글씨가 쓰인 상태이다. JavaScript 코드를 사용하기 위해선 태그 안에 .. 2021. 5. 29. 이전 1 ··· 16 17 18 19 20 21 22 ··· 26 다음 300x250
