Security
-
[Webhacking.kr] Challenge 2Security/Wargame 2014. 6. 17. 12:52
Webhacking.kr 의 2번 문제.예전에 대회에서도 나왔던 문제였던걸로 기억하는데..꽤 어려웠던 문제이번에 풀면서도 한참 헤매게된 문제이다.차근차근 한번 풀어보자 해킹대회/워게임을 열심히 하는 사람들에게 "홍길동문제"라고 물어보면 다들 이 문제를 떠오르게 될만한 메인화면홍길동이 명상을 잘 하고 있는 그림이 나온다. 홈페이지 환경으로 문제를 구축해두었는데.각 메뉴마다 들어가보면서 와.. 무슨말인지모르겠다 라고 한번씩 느껴주자. 그리고 메인화면으로 돌아와 소스보기를 한번 해보자. Copyright ¨Ï 2008 beistlab. All rights reserved 이 소스에서 눈여겨 봐야할 몇가지가 있다. 1. admin 페이지가 노출되어있다는 것. 2. 알수없지만, 시간정보가 주석처리 되어 있다는 것..
-
[Webhacking.kr] Challenge 1Security/Wargame 2014. 6. 13. 13:08
WebHacking.kr 을 1번부터 풀이해볼까 한다. [끝까지 다할 수 있을지는...] 1번 문제를 보자 위의 문제를 접속해보자 별거 없는 화면이다. index.phps 라는 문구가 있는데,현재 이 화면을 보여주는 url 주소를 보게되면 http://host/challenge/web/web-01/라는 주소이다. web-01/ 뒤에는 기본으로 보여줄 index 페이지 주소가 생략되어있는 것.index.html, index.htm, index.php, index.jsp, index.asp, defaul.html등 현재 Directory 의 메인페이지를 보여줄것이다. 화면에서 보여주는 문구를 보아현재 페이지는 index.php일 것이고, index.phps 를 열어보라는 의미일 것이다. .phps 확장자는 ..
-
카마스[KAMAS] - 지워진 카카오톡 복구 프로그램Security 2014. 1. 10. 16:48
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20140109133146&type=xml위 링크에서 소개된 지워진 카카오톡 대화를 복구해주는 프로그램KAMAS 입니다. 사용법은프로그램 설치하시고,휴대폰을 컴퓨터에 연결하신 후(드라이버 설치등이 완료되어야 합니다)프로그램을 키고 탐지시작을 누르고 기다리면 됩니다! * 휴대폰 잠금 설정 해제** 설정 -> 개발자옵션 -> USB디버깅 ON(4.3/4.4 버전의 사용자들의 경우 개발자 옵션이 없다면설정 -> 휴대폰 정보 -> 빌드번호를 여러번 터치하시면 개발자 옵션이 활성화 됩니다) KAMAS 다운로드 -- Update.2014년 1월 11일로 Kamas 가 서비스 종료되었습니다.기존에 사용하던 프로그램도 Kama..
-
[HackerSchool FTZ] Level 1Security/System 2013. 7. 18. 18:56
Pwn&Play 신입 스터디를 위해FTZ 풀이를 시작합니다. - Level ONE - ftz에 level1 / leve1 로 접속하면 다음과 같은 화면을 만나게 됩니다. Last login: Thu Jul 18 16:34:32 from ***.***.***.***[level1@ftz level1]$ level1 계정으로 로그인이 된 화면인데요, 일단 워게임형식의 진행방식이므로, 파일 목록을 살펴봅니다. [level1@ftz level1]$ lshint public_html tmp 아주 당연하듯이(?) hint 파일이 눈에 띕니다.hint 파일을 열어봐야겠죠? [level1@ftz level1]$ cat hint level2 권한에 setuid가 걸린 파일을 찾는다. Level 1의 문제입니다.Level ..
-
네이트온(Nate ON) 메신저 악성코드 - see.scrSecurity/Reversing 2013. 1. 28. 12:54
--------------------------------------------------------------------------------- 네이트온에 접속해 있을경우, 이런 쪽지를 받을 경우가 있습니다. 이렇게 ** 하는 담을 가졌어! www.shenkr**.com 등 과 같은 수상한 쪽지가 옵니다. 이로보아, 국내 메신저인 네이트온(NateON)을 통해 왕성하게 유포중인 악성코드로 보입니다. 악성코드의 유포 경로를 보게된다면, [악성코드 유포 경로] h**p://www.zip*****.com/ h**p://www.ayuorn***.com/love/see.scr 저런 주소에 들어가게된다면, 다운로드 창이 뜨게됩니다. 이러한 see.scr 이란 화면 보호기 파일을 다운로드 하게되는데요. 요즘 백신은..
-
[ftz.hackerschool.org] Level 1Security/Wargame 2012. 9. 20. 21:27
안녕하세요.오늘 부터 Hackerschool.org 의 워게임인 FTZ Level 을 함께 풀어보아요.FTZ는 시스템 해킹 공부를 목적으로 두고 있습니다. 텔넷으로 [ ftz.hackerschool.org ] 에 접속하시면됩니다!trainer 를 모두 종료 하셨다고 생각하고 Level 을 시작하겠습니다. Level 1 로그인을 먼저 해줍니다! 로그인이 되면 Last login: ~~~ [level1@ftz level1]$이런 문구가 뜨게됩니다.먼저 홈 디렉토리에 무슨 파일들이 있는지 확인하겠습니다. [level1@ftz level1]$ ls -al* ls 명령어는 List 를 뽑는 명령어로 Windows Dos 에서 dir 과 비슷합니다.을 써주시면 이렇게 모든 파일들이 자세하게 표시됩니다.워게임이니 만..
-
[Wargame.kr] Login FilltteringSecurity/Wargame 2012. 8. 9. 01:10
로그인 하라는 창이 나오네용!어떻게 로긴하라고? 일단 소스보기 해볼까여 guest / guestblueh4g / blueh4g1234ps이 두 아이디로 로그인 하라는건가요?해보면..안되여 ㅠ_ㅠ index.phps를 열어봅시다! 음~!! id 와 pw 를 받은 후 sql 쿼리문을 보내준후id 가 guest 이거나 blueh4g 이면 안되영ㅎㅎ 이라고 뜨구아니면 패스워드가 뜨는데요! id 와 pw 를 우리가 아는건 guest 랑 blueh4g 밖에 없잔아요?어떻게 할까여 ...ㅠ? MYSQL 에서는 대소문자를 구별하지 않지만PHP에서는 영어 대소문자를 구별하기 때문에 blueh4g 가 아닌 BLUEH4G 같은 경우는 잘 되겠죠?