WarGame
[Webhacking.kr] old-06 Answer
Old-06 Domain & Tool 구분 : 코드 잘 읽기 문제풀이에 사용된 도구 Chrome 103.0.5060.66 관리도구[F12] python 3.10 Module : requests Old-06 Question & Answer 들어가면 특별한 코드는 보이지 않고, ID가 guest라는것, pw가 123qwe라는것이 보인다. 이를 활용한 문제인듯 쿠키에 길고도 긴 user와 password라는 값이 보인다. view-source를 확인해서 문제가 어떻게 구성되는지 알아보자 오른쪽 사진의 php코드를 확인할 수 있다. 코드는 단순하다. 사전 쿠키설정 웹페이지에 접속하면 'guest'와 '123qwe'를 base64 인코딩을 20번 수행한다. 인코딩된 값의 숫자("12345678")를 특정한 특수문..
[Webhacking.kr] old-05 Answer
Old-05 Domain & Tool 구분 : 쿠키 조작, 파라미터 조작 문제풀이에 사용된 도구 Chrome 103.0.5060.66 관리도구[F12] Burp Suite Community Edition v2022.6.1 Old-05 Question & Answer 들어가면 아무것도 없는 버튼2개의 php화면이 우리를 반겨준다. 버튼을 각각 누르면 다음과 같이 동작한다. 왼쪽사진은 login.php를 , 오른쪽 사진은 join.php를 실행하였을때의 사진이다. 일단 Join을 들어가서 login동작을 확인하고 싶다. 들어갈 수 있는 login.php에서 힌트를 조금 얻어보자 login.php는 mem이라는 폴더아래 있다. 만약 여기서 Directory Traversal이 가능하다면?? mem의 폴더가 어..
[Webhacking.kr] old-04 Answer
Old-04 Domain & Tool 구분 : Rainbow Table 문제풀이에 사용된 도구 python 3.10 Module : requests Old-04 Question & Answer 들어가면 딱봐도 해시값처럼 보이는 정보와 Password를 입력할 수 있는 Textfield가 있다. 아래 View source라는 태그도 보이니, 이번문제또한 코드를 읽고 푸는 문제라고 판단했다. 확인하면 아래와 같은 php코드를 볼 수 있다. Password [view-source] 중간의 코드만을 강조해서 한번만 다시보자 코드의 동작은 key라는 값이 post로 payload에 전달되면 그 값을 chall4라는 세션값과 비교한다. chall4는 10,000,000에서 99,999,999라는 값에 "salt_f..
[Webhacking.kr] old-03 Answer
Old-03 Domain & Tool 구분 : SQL Injection 문제풀이에 사용된 도구 Chrome 103.0.5060.66 관리도구[F12] Old-03 Question & Answer 들어가면 네모네모 로직이 나온다. 이걸 풀면 문제가 풀린다니!! 이런 혜자 문제가 어디있나!! solved를 누르자. 필자는 가장 어려운 문제를 푼기분이다. Clear라는 이름과 함께 이름을 입력하도록 하고 있다. 아무이름이나 입력해보자 다음과 같은 결과가 나온다. 한번뒤로가서 다시 제출해보자 오호라 일단 데이터베이스를 활용하고 있는거 같다. 여기까지오면서 신기했던건 태그를 활용해서 이렇게 된것으로, index.php한페이지에서 네모네모로직 페이지 -> 이름입력 페이지 -> 결과페이지가 구성되었다는 점이다. 데이..
[Webhacking.kr] old-02 Answer
Old-02 Domain & Tool 구분 : Blind SQL Injection 문제풀이에 사용된 도구 Chrome 103.0.5060.66 관리도구[F12] python 3.10 Module : requests Old-02 Question & Answer 들어가면 Restricted area라는 안내문과 "Hello Stranger. Your IP is Logging"이라고 써있다. 특별한 코드나 반응은 보이지 않으니, 코드를 확인해보자 다른거는 모르겠는데. 이상한 시간으로 주석이 생성되어있고, 아래 "admin.php"로 들어가면 안된다는 이야기를 하고 있다. 역시- 바로 들어간다. 으흠.. Password를 입력해야 이 문제를 해결할 수 있을거 같다. PW를 입력하는 곳이니 한번 이곳에 SQL I..
[Webhacking.kr] 서문 & old-01 Answer
서문 웹해킹 문제풀이를 시작한다. 너무 CTF를 안한지 오래되어서 재미삼아서 시작한다. 완전 초보자인 필자가 이해하는 과정과 풀이과정을 상세히 적을 예정이다. Old-01 Domain & Tool 구분 : 쿠키조작 문제풀이에 사용된 도구 Chrome 103.0.5060.66 관리도구[F12] Old-01 Question & Answer 들어가면 Level 1이라는 안내와함께 view-source 라는 링크가가 존재한다. 들어가보자 코드는 php로 작성되어있다. 다음과 같다.