Wargame
-
[Webhacking.kr] Challenge 3Security/Wargame 2014. 6. 19. 15:18
Webhaking.kr 3번 문제 문제를 들어가보자 이런 퍼즐판을 보게되는데 소스보기를 해봐도 딱히 넘어가는방법은 찾지못했다.근데 퍼즐판이 옛날에 해본 퍼즐과 유사해서 직접 풀어봤다.무튼 비슷한 퍼즐을 학교다닐때 해봤고숫자가 그 줄의 체크되어야 하는 갯수이다. 체크된곳과 숫자들을 보면 대충 어떤 느낌인지 알 것이다. 그 줄에 표시된 숫자만큼 색이 채워질 수 있다.숫자들이 겹치는 부분에 체크를 하다보면이렇게 퍼즐을 풀 수 있다.gogo 해보자 이런 화면을 만나게 되고,느낌이 SQL Injection 이다. 아무거나 입력을 해보면 이런식으로 입력한 데이터들을 보여준다. 실제로 name 과 answer 값을 POST로 넘기고있는걸 확인할 수 있다.즉 name 또는 answer 값을 조작하여 SQL Inject..
-
[Webhacking.kr] Challenge 2Security/Wargame 2014. 6. 17. 12:52
Webhacking.kr 의 2번 문제.예전에 대회에서도 나왔던 문제였던걸로 기억하는데..꽤 어려웠던 문제이번에 풀면서도 한참 헤매게된 문제이다.차근차근 한번 풀어보자 해킹대회/워게임을 열심히 하는 사람들에게 "홍길동문제"라고 물어보면 다들 이 문제를 떠오르게 될만한 메인화면홍길동이 명상을 잘 하고 있는 그림이 나온다. 홈페이지 환경으로 문제를 구축해두었는데.각 메뉴마다 들어가보면서 와.. 무슨말인지모르겠다 라고 한번씩 느껴주자. 그리고 메인화면으로 돌아와 소스보기를 한번 해보자. Copyright ¨Ï 2008 beistlab. All rights reserved 이 소스에서 눈여겨 봐야할 몇가지가 있다. 1. admin 페이지가 노출되어있다는 것. 2. 알수없지만, 시간정보가 주석처리 되어 있다는 것..
-
[Webhacking.kr] Challenge 1Security/Wargame 2014. 6. 13. 13:08
WebHacking.kr 을 1번부터 풀이해볼까 한다. [끝까지 다할 수 있을지는...] 1번 문제를 보자 위의 문제를 접속해보자 별거 없는 화면이다. index.phps 라는 문구가 있는데,현재 이 화면을 보여주는 url 주소를 보게되면 http://host/challenge/web/web-01/라는 주소이다. web-01/ 뒤에는 기본으로 보여줄 index 페이지 주소가 생략되어있는 것.index.html, index.htm, index.php, index.jsp, index.asp, defaul.html등 현재 Directory 의 메인페이지를 보여줄것이다. 화면에서 보여주는 문구를 보아현재 페이지는 index.php일 것이고, index.phps 를 열어보라는 의미일 것이다. .phps 확장자는 ..