김승현

접속하면 이렇게 hi guest라는 게 뜬다. 딱히 이 페이지의 소스를 보거나 해서는 얻을 힌트가 없는 것 같으니 view-source를 눌러 코드를 확인해보자. view-source를 보면 이렇게 긴 코드를 볼 수 있다. 해석해보자.

시작 전 기초적인 정보 정리 ubuntu란? linux 기반인 운영체제 linux란? unix 기반 공개 운영체제 linux의 장점 : 무료로 사용 가능. window나 다른 unix 기반 운영 체제의 경우 모두 유료이며 linux의 경우 코드가 공개되어 있어 자기만의 linux를 만들 수 있음 실습을 위한 운영체로 linux가 사용된 이유 무료로 이용가능함 서버로 많이 이용되는 운영체제이기 때문에 인터넷에 정보가 많다. 만약 오류가 발생하면 검색으로 쉽게 해결가능함. 공개 코드이기 때문에 나만의 운영체제를 만들 수도 있기 때문에 제조사에 크게 묶이지 않음. linux 배포판의 종류 예시 - debian, centOS, ubuntu, Redhat linux(유료) 실습에 사용할 운영체제 : ubuntu ..

2023-03-29 대회 종료 후 비공개에서 공개로 돌렸습니다. web exploitation 문제 중 그나마 쉬운 문제인 More SQLI이다... FLAG를 website에서 찾아보라고 하고 hints로는 sqli lite라는 dbms가 사용됐다고 한다. 사이트에 접속해보자. 접속하면 이렇게 security challenge / please log in 이렇게 적혀있고 username과 password를 입력하는 칸이 있다. 일단 username : uname / password : passwd로 로그인 해보자. 로그인을ㄷ 하면 이렇게 SQL query가 나와 있다. 대부분은 username이 먼저 오는 편인데 얘는 password가 앞에 있다. 한번 sqlite 기준으로 sql inejction을 ..

2023-03-29 대회 종료 후 비공개에서 공개로 돌렸습니다. 정규식을 이용해서 해결하는 문제인 것 같다. 힌트로는 text field와 관련된 정규식을 이용해서 해결하라는 것 같다. 일단 website로 접속해보자. 접속하면 이렇게 정규식을 입력하는 칸과 submit버튼이 있다. 아무거나 입력하면 이렇게 잘못된 매치라고 뜨고 다시 시도하라고 한다. 코드를 살펴보자. 개발자도구의 elements를 살펴보면 이렇게 %p...F!?라는 정규식이 있다. 이를 해석해보면 p와 F사이에 임의의 값 아무거나 5자를 넣거나 p와 F!사이에 아무거나 5자리를 넣으면 해결되는 문제인 것 같다. .은 와일드카드이며 ?의 경우 바로 앞에 오는 문자를 포함하거나 포함하지 않고 입력해도 된다는 뜻이다. p12345F를 입력해..

2023-03-29 대회 종료 후 비공개에서 공개로 돌렸습니다. webhacking 문제인 findme를 풀어봤다. username에 test, password에 test!를 넣어보라고 한다. 힌트로는 redirection들을 보라고 한다. 한 번 website에 접속해보자. 접속하면 이런 화면을 볼 수 있다. test/test!를 입력하고 test 버튼을 눌러보자. 누르면 이런 home path로 이동되고 search for flags라는 입력창이 뜬다. 해당 입력창에 sqli를 하는 건가 하면서 시도해보다가 힌트가 생각나서 burp를 켜봤다. 버프를 이용해서 일단 test버튼을 누르는 상태를 잡았더니 이런 화면이 나왔다. response도 잡게 설정을 바꾸고 forward를 눌러보자. 몇 개 넘기다 ..