분류 전체보기77 [Webhacking.kr] old-12 오잉?! 코드를 봐보겠습니다. 와... 이모티콘 같은게 아주 난잡하게 적혀있습니다. 알아보니 aaencode 암호화 방식이라고 합니다. https://cat-in-136.github.io/2010/12/aadecode-decode-encoded-as-aaencode.html aadecode - Decode encoded-as-aaencode JavaScript program. ['_'] aadecode - Decode encoded-as-aaencode JavaScript program. (゚Д゚) ['_'] Enter ... cat-in-136.github.io 위의 복호화 사이트를 이용해 복호화를 해보면 이런 코드가 튀어나옵니다. 조금 더 보기좋게 정리했습니다. 브라우저의 console에서 이 코드를.. 2020. 3. 13. [Webhacking.kr] old-11 다짜고짜 틀렸다네요 ㅠㅠ 소스를 보겠습니다. 정규식 문제네요 [1-3] 은 1부터 3까지의 숫자 중 하나 [a-f]{5} 은 a부터 f까지 알파벳 중 5개 그리고 자신의 ip와 \t는 Tab이고 %09입니다. 그러니 %09p%09a%09s%09s 이 모든 것을 이어서 해보겠습니다. 2020. 3. 13. [Webhacking.kr] old-10 딱 봤을때 제일 왼쪽에 O을 제일 오른쪽에 있는 Goal에 도달하게하면 풀리는 것 같네요. 어떻게 이동시키나 코드를 보겠습니다. 1600번 클릭해야하네요.. 그러지말고 움직이는 픽셀을 1599로 바꿔서 1600으로 1 + 1599가 되도록 맞춰줍시다. 성공! 2020. 3. 13. [Webhacking.kr] old-09 이게 뭘까요?! 1, 2, 3 버튼을 하나 씩 눌러보겠습니다. column은 id와 no가 있고 3의 id가 password라고 나옵니다. blind sql injection 문제같아 보입니다. if문을 사용해서 blind sql injection을 실행해보겠습니다. 만약 if 값이 일치하면 3을 반환하고 아니면 0을 반환하게하여 Secret 문자가 존재하는지 여부를 통해 값을 찾아보겠습니다. 이렇게 작성해서 돌려보면 이렇게 뜹니다. password는 alsrkswhaql로 뜨는데 한번 해볼께요. 성공! 2020. 3. 13. [Webhacking.kr] old-08 인사를 해주네요. 코드를 봐보겠습니다. HTTP_USER_AGENT를 이용하는 문제입니다. DB에 user_agent가 등록되어있지 않으면 등록하고, 등록되어있으면 그 user_agent의 id를 확인하여 admin이면 풀리는 문제입니다. 프록시 툴을 사용해서 User-Agent를 조작해서 등록을 해보겠습니다. 등록이 되었다고 뜹니다. 그럼 등록한 User-Agent로 값을 보내보겠습니다. 성공하였습니다.! 2020. 3. 13. [Webhacking.kr] old-07 source를 보겠습니다. data[0] == 2 가 되어야 합니다. 근데 preg_match를 보면 2와 사칙연산이 가능한 기호들을 막아놓았습니다. 띄어쓰기는 괄호로 우회하겠습니다. char(50)을 이용해서 아스키코드로 2를 의미하는 값으로 변환해서 넣어보겠습니다. 성공! 2020. 2. 26. [Webhacking.kr] old-06 소스를 봅시다.~! id와 pw를 base64로 20번 암호화하고 각각의 숫자들을 다른 특수문자로 변환해주네요 id가 admin, pw가 nimda이고 그 값이 암호화, 문자가 변환된 값이 cookie에 있어야 합니다. 실제로 user와 pw가 있네요. 그럼 코딩을 해보겠습니다. 자 이제 한번 나온 결과를 쿠키 값에 넣어볼께요.! 2020. 2. 25. [Webhacking.kr] old-05 Login과 Join 버튼이 있습니다. Join 버튼을 클릭 시 흠..... Login을 눌러봅시다. 로그인..시도해보니까 들린 패스워드라고 뜹니다. 흠...근데 login.php가 있는거 봐서 join.php도 있을거라 추측하고 이동해보니 있기는 있는 것 같습니다! 이런 페이지 코드가 존재하는데요 보기 좋게 변경해보겠습니다. 정리를 해보면 이렇게 변경이 됩니다. 쿠키에 oldzombie가 포함되어야 하고, URL에 mode=1이 포함되어야 접근이 가능하네요!! 접근해보겠습니다. join이 접근이 됩니다.!!! 만들어서 제출합시다.ㅎㅎ abc / abc 로 만들어서 로그인을 해보니 admin이 필요하네요! 그럼 계정 이름을 admin으로 만들어서 로그인을 해보겠습니다. 헉! 존재한다고 뜹니다... 그럼... 2020. 2. 25. [Webhacking.kr] old-04 이렇게 주어집니다. Password를 제출해야 풀리는 문제 같은데 일단 소스를 확인해볼께요. 보면 랜덤으로 10,000,000 부터 99,999,999 값 중 하나를 랜덤으로 고르고 뒤에 salt_for_you 문자열을 붙인 후 SHA-1 해쉬를 500번 하여 나온 결과가 바로 화면에 나온 해쉬 값입니다. 어떤 숫자와 salt_for_you 가 결합되었는지를 알아야 하는 문제네요... 바로 코딩을 해보았습니다. 10,000,000 부터 99,999,999까지 순서대로 salt_for_you 와 합친 후 SHA-1 해쉬 값을 500번 구합니다. 그 후 rainbowTable이라는 딕셔너리에 key값이 hash, value는 첨에 사용된 문자열을 넣어 만듭니다. 그리고 문자열을 입력 받아서 그 값을 rain.. 2020. 2. 25. 이전 1 2 3 4 ··· 9 다음
