본문 바로가기

해킹기초5

키워드를 이용한 구글링으로 개인서버 도메인 찾기 // synology.me, 요즘 읽는 책중에 [공개 정보 수집 기법] 이라는 책이 있는데 이 책에서 나오는 내용중에 구글링 기법이 있어서 몇개 써보고 적습니다. 키워드를 이용한 구글링은 예전부터 이미 자주 사용되는 정보수집기법의 좋은 사례였는데 저는 뒤늦게 이제서야 배워봅니다. 책에서는 파이어폭스 사용을 권장하더라구요 수많은 애드온 - (크롬에서는 확장,extension)으로 다양한 부가기능 사용이 가능하다구요 본론으로 들어가서 구글 검색 엔진을 활용한 서칭은 키워드를 통해 더욱 정확하고 다채로운 정보검색이 가능하다고 합니다. inURL 연산자 그 중 하나 배워서 제가 알차게 써먹은게 inURL 연산자입니다. inURL연산자는 웹 사이트의 URL 주소 내에 특정 데이터가 포함되도록 기능합니다. 예시로 inurl:naver "맛집".. 2022. 8. 9.
드림핵 문제풀이 - CSRF-2 // CSRF, Web hacking, 세션 문제 분류 난이도 : 중 작성일자 : 2022-04-04 기본 숙지 개념 : flask, Web, CSRF 취약점, 웹 인증방식(쿠키,세션) 작업환경 : VIsual Studio Code, Web(Chrome) 사용언어 : Python_flask, HTML, JavaScript 작업도구 : - 추천 자료 : https://dreamhack.io/lecture/roadmaps/1 https://pointy-tarantula-c3b.notion.site/CSRF-Cross-Site-Request-Forgery-93d36fbda7c54f50a26022a61ea28330 1. 사전탐색&정찰 (reconnaissance) 해당 문제 자체가 CSRF 취약점에 관련된 문제이기 때문에 우리는 이 문제를 CSRF 취약점.. 2022. 4. 6.
모의해킹 문제풀이 - 2번(답 포함) - 써니나타스(SuNiNaTaS) // CTF, Web Hacking, 자바스크립트 인증우회 문제분류 난이도 : 하 Level 2번 문제에 들어와보니 ID와 PW값 입력 화면을 보여준다. 누가 봐도 계정값을 이용하라는 의미인것 같다. Injection을 해야되는 건지 아니면 인증우회가 필요한건지 크롬을 통해 소스를 한번 살펴보자 힌트가 적혀있는데 ID와 PW가 동일하다는 뜻일까? 먼저 값을 아무렇게나 입력해보자 ID : 1234 PW : 1234 값을 동일하게 입력해보면 alert 메시지가 뜨는데 여기서 ID와 PW를 다르게 입력해보면 alert 메시지가 발생하지 않는다 즉 ID와 PW 값이 같다는 힌트와 메시지가 발생하는 순간에 인증우회를 해보자. 버프스위트를 통해 헤더를 확인해본 결과 자바스크립트 인증우회를 위한 문제인것같다. 아래 ID 와 PW값이 전달되는걸 볼 수 있는데 이 값을 변조해주.. 2021. 8. 15.
모의해킹 문제풀이 - 1번(답 포함) - 써니나타스(SuNiNaTaS) // CTF, Web Hacking, 암호 유추 문제분류 난이도 언어 공부를 많이 안해놔서 이 언어를 보고 웹 언어인거는 직감을 했는데 뭘까,,, 자바스크립트인가 Jinja 인가... 헷갈렸다. 검색해보니까 "JSP" 라고 하는데 공부를 어지간히 안하긴 했나보다 JSP가 뭔지를 모르겠다. ㅋㅋㅋ 아무튼 코드만 대충 해석을 좀 해보자면 str이라는 변수 요청 일듯하다. JSP 라는 언어가 Java에서 나온 API 같은 느낌으로 서버 요청용 Java Api(서블릿) 이라는 기능이라고 한다. 즉 서버에 요청하는 HTTP 헤더를 Java로 짠 듯 하니 If not str="" Then 이거는 str을 요청해서 확인해봤을때 Null이 아니라면? 이겠지? 코드를 살펴본 바로는 아직 모르는 str 값을 넣으면 str이 admin이 되어야 하는 듯 하다. 이제 문제.. 2021. 7. 31.
해킹 연습용 문제 풀이 워게임 사이트 모음(지속 업데이트 예정 2022-01-18 추가) 써니 가타스(Suninatas) 써니나타스 웹해킹, 포렌식, 리버싱, 암호학, 해킹 워게임 제공. www.suninatas.com 접속방법 : 회원가입 후 [Challenge]에서 워게임 풀이 후 [Auth]에 플래그 입력하면 문제풀이 완료 추천도 : ✦ ✦ ✦ ✦ ✧ 난이도 : 초심자가 입문하기에 좋은 난이도로 웹부터 포렌식 시스템, 네트워크 등 다양한 워게임이 모여있다. 군대 CTF 난이도가 써니나타스를 다 풀이했다면 본선 진출할 정도의 난이도라고 함. 드림핵(DreamHack) 해커들의 놀이터, Dreamhack 해킹과 보안에 대한 공부를 하고 싶은 학생, 안전한 코드를 작성하고 싶은 개발자, 보안 지식과 실력을 업그레이드 시키고 싶은 보안 전문가까지 함께 공부하고 연습하며 지식을 나누고 실력 향 .. 2021. 7. 31.