웹 해킹/Webhacking.kr25 [Webhacking.kr] old-07 문제 서버로 접속하면 위와 같이 auth와 소스코드를 볼 수 있다. 소스코드는 아래와 같다. 2021. 8. 27. [Webhacking.kr] old-06 문제 서버에 접속하면 위와 같이 ID와 PW가 출력된다. 소스코드는 아래와 같다. 소스코드는 간단하다. 쿠키값에 user 변수가 없다면 "guest", "123qwe"를 base64로 인코딩을 20번하고 특수문자를 다른 문자로 치환한다음 쿠키값에 저장한다. 그리고 쿠키 값에 있는 값을 다시 디코딩한다. 따라서 admin과 nimda를 인코딩한 값을 쿠키에 넣은뒤 새로고침하면 디코딩이 진행되면서 slove 함수 조건문을 만족하여 클리어할 수 있다. PHP 코드 실행 사이트는 다음과 같다. -> http://phptester.net/ PHPTESTER - Test PHP code online This application is free so please don't break it! Contact :phpte.. 2021. 8. 27. [Webhacking.kr] old-05 문제 서버에 접소하면 위와 같이 로그인과 회원가입 창이 있다. Join 창을 누르면 Access Dineid 라는 문구가 출력된다. 로그인 창을 누르면 /mem/login.php에 접속된다. /mem 페이지로 접근하면 join.php가 디렉토리에 출력된다. join.php에 접근하면 bye 라는 문구가 출력되고 검은색 화면이 출력된다. 아래는 해당 페이지의 소스이다. 위 스크립트를 정리하면 아래와 같다. if(eval(document.cookie).indexOf(oldzombie)==-1) { alert('bye'); throw "stop"; } if(eval(document.URL).indexOf(mode=1)==-1) { alert('access_denied');throw "stop";} else {.. 2021. 8. 26. [Webhacking.kr] old-04 문제 서버에 접속하면 위에 암호화된 16진수가 출력되는데 아래 소스코드를 보면 sha1 알고리즘으로 암호화되었음을 알 수 있습니다. 2021. 8. 26. [Webhacking.kr] old-03 문제에 접속하면 nonogram이라는 문제를 풀어야한다. 규칙은 구글에 검색하면 자세하게 나온다. 위와 같이 nonogram을 풀면 아래와 같이 입력창이 하나 출력된다. 문자열을 입력하면 위와 같이 하나씩 추가된다. 버프스위트로 패킷을 보면 answer과 id 값이 넘어간다. answer에 ' or 1=1 -- 으로 수정하고 패킷을 보내면 pwnable하다. -- 뒤에 띄어쓰기를 하지 않으면 오류가 발생하니 주의하자. 2021. 8. 26. [Webhacking.kr] old-02 문제 서버에 접속하면 위와 문구가 출력된다. F12를 눌러 소스코드를 확인하면 주석이 두가지있는데 첫번째는 시간을 출력하고 두번째는 admin.php에 접속하라는 힌트가 기록되어있습니다. admin.php에 접속하면 위와 같이 패스워드를 입력하는 창이 나오지만 패스워드는 알 수 없습니다. 다시 이전 페이지로 돌아가서 F12를 눌러서 Application의 쿠키값을 확인하면 time이라는 변수가 있습니다. 첫번째 주석에 시간이 적혀있었는데 관련이 있어보입니다. time 값에 false를 입력하고 새로고침하면 주석에 기록된 시간이 위와 같이 09:00:00로 변경됩니다. time 값에 true를 입력하면 09:00:01으로 변경됩니다. 이를 통해 우리가 입력한 데이터베이스 언어에 따른 결과값이 출력됨을 추측.. 2021. 8. 25. [Webhacking.kr] old-01 문제 서버에 접속하면 위와 같은 페이지가 출력된다. veiw-source를 클릭해서 소스를 보면 아래와 같다. --------------------- 2021. 8. 25. 이전 1 2 3 다음
