Haword's blog

wargame.kr 이 가장 재밌지 않나요? 필터링 스펠링 까먹어서 밑줄 친거 그대로 나왔네요..나는 계정을 갖고 있지만 막혔어. 필터링을 우회해서 로그인을 할 수 있겠니? 음... ㅇㅋ ㄱㄷ ? 힌트로 아이디랑 패스워드를 줘버리네요... 개 쉬운 문제인가 소스코드도 한 번 봅시다. ID PW get source 여기서 중요한 부분은 딱 한 부분입니다. if(isset($row['id'])){ if($id=='guest' || $id=='blueh4g'){ echo "your account is blocked"; }else{ echo "login ok"." "; echo "Password : ".$key; } row 에 id 값이 있을 시 guest 나 blueh4g 이면 blocked 되고 아니면 키를..

webhacking.kr 은 복호화 문제가 자주 나오며, php 문이 궁금할 때 뒤에 /index.phps 를 쳐주면 대부분 문제에서 php문을 보여줍니다. 음.... 빠르게 갑니다. 일단 이런 문제를 푸는 방법은 두 가지가 있습니다. 1. 패턴을 외운다 2. 글자 수를 세본다 일단 1번으로 먼저 접근하면 뒤에 == 이 붙은건 base64 로 암호화 되있는 글이 대체로 그렇습니다. webhacking.kr 내에 있는 복호화 툴을 쓰니 바로 flag값 같은게 나오네요. 감사링~ 입력하고 제출하면? 아닌가봅니다. 일단 base64 까지는 맞았을꺼라 생각하고 2번째 방법인 글자 수로 가보겠습니다. 40byte네요. 40byte의 암호문은 sha 로 암호화 되었을 가능성이 큽니다. 160bit 의 암호문은 많으..

날씨가 너무 덥네요... 진짜 더워요... 일단 문제에 들어가시면 이런 창을 보실 수 있습니다... plus가 가장 이 문제를 푸는데 핵심 같으니 한 번 눌러줍시다. hmmmmm..... 일단 개발자 도구창을 보니 point to 50 즉 50점을 찍으라해서 plus를 누르니 저기 위에 0이던 숫자가 1씩 커졌습니다. 그런데 25 에서 올리려다보니.. 이런 alert 와 함께 올라가지 않네요.. 여기서 드는 생각은 별로 없습니다..(더워서 그런 것 일수도 있습니다.) 1. 개발자 도구창의 슬롯을 내 맘대로 바꾸어보자. 일단 저 point 값의 숫자가 50이 되는게 중요한지 현 상황이 50이 중요한 건지 모르기에 49로 한 번 50으로 한 번 해보겠습니다. 49 전과 같은 alert 가 뜨고 다시 25로 ..

어... 음... 일단 제가 아직은 보안 해킹 관련은 초보이기 때문에 모든 문제를 다 풀지는 않았습니다. 모르는 문제가 있어도 바로 풀이를 보는게 아니라 근처 지식을 물어보거나 뺑 둘러서 검색해보기에 문제 푸는 속도 또한 느립니다. 그래서 1번,2번,3번 .... 이렇게 쭉 푼게 아니라 제가 풀 수 있는 문제만 푼 것이기에 띄엄띄엄 풀이를 쓸 예정입니다. 추후에 풀게 되면 바로 풀이를 올리겠습니다. ... 모지... 스도쿠임을 암시하는 것인가...일단 이상하게 생긴 격자무늬의 사각형이 있습니다. 스도쿠도 아니네요. 몇몇 네모들은 클릭 시 색칠이 가능합니다. 대충 색칠하고 gogo를 눌러봤습니다. 아니라네요. 일단 대충 위에 있는 숫자들의 배열과 옆에 있는 숫자들의 배열을보니 이 칸에는 몇개가 들어간다....

네 안녕하세요. 맨날 던파 글만 쓰다가 최근에 흥미를 가져 웹 보안에 관련된 wargame 공략도 적어보려합니다. 다른 곳에도 라이트 업은 많으나 몇 가지 툴이나 설명이 제가 볼 땐 이해가 안되어서, 저 방식대로 제가 푼 방법으로 쉽게 적어 보겠습니다. 문제 풀 때 혼자 고민할 때 쓰이는 용어가 몇몇 들어갑니다. 설명 붙여 놓으니 봐주시길 바랍니다. 일단 첫 날 이니까 간단하게 회원가입 하시는 방법부터 일단 webhacking.kr 에 들어가시게 되면 입력창이 두개가 보이고, 그 옆에 로그인이라고 적힌 것이 보입니다. 회원가입 관련된 글자는 안보이는데요. 일단 이런 wargame을 풀 때, 뭔지 모르겠으면 일단 f12를 눌러 개발자 창에서 소스와 구성요소를 봅니다. 이렇게 보시면 일단 element 창에..

문제 풀이 라이트업을 적는 이유는 첫 번째가 복습을 위해서 이고, 두 번째가 저 보다 더 wargame 뉴비이신 분들을 위해 제 눈높이로 풀이를 적는 것입니다. 그렇다고 해서 문제 보자마자 해설 보는 건 실력 향상에 늘지 않으므로 나중에 보시는 것을 추천 드립니다.(+ 저는 어렵게 풀었는데... 보고 쉽게 푸시면... 배가 아파요..) 문제가 아주 간단해 보입니다. 버튼을 누르면 된답니다. ? ?? 버튼이 마우스를 피해서 막 돌아다닙니다. 터치가 되는 노트북이라 빠르게 버튼을 눌러봤는데도 피하더군요. 버튼도 일단 페이지 구성 중에 하나라고 추측되어 개발자 관리 창을 열어 자세히 버튼에 대해 알아봅시다. 이렇게 마우스를 움직일 때 마다 저렇게 보라색으로 반짝 반짝 하면서 부각이 되네요. 저 부분이 저 버튼..

일단 공지 게시판에 규칙?(글)을 써라 라고 하는 문제 같습니다. ... 음.. 그런데 저 거멓게 가린 거 뒤에 뭔가 있을 것 같네요. 한 번 치워봅시다. 저기 align center라고 적혀 있는 부분이 검은 색 창인 줄 알고 right 로도 고쳐봤습니다.저 해당 슬롯이 검은 색 박스에 해당 값이네요. 한 번 통째로 지워봅시다. 엔 아무 것도 없었네요. 여기까지 해서 알 수 있는 것은 그냥 공지창에 저희가 글을 쓰기만 하면 되는 겁니다. 그럼 공지 창을 가봅시다. 저희가 사용가능한 QnA 게시판 입니다. 저희가 글을 써야하는 notice 게시판( 공지 게시판 ) 입니다. 특징을 몇 가지 잡아봅시다. 1. QnA 게시판은 QnA 라고 안 적혀 있고, FREE라고 적혀있네요. 2. QnA 게시판에는 wri..

제가 막 그렇게 웹 보안에 대해 빠삭하게 알거나 어느 파트에 특출난 사람은 아닙니다. 저보다 잘하시는 분들도 많이 있습니다. 그렇기에 초보자가 쓴 초보자가 이해하기 쉬운 풀이를 적는 중 입니다. 헬퍼라는 웹툰에 보면 "이 웹툰은 입구가 아닌 출구입니다"?비슷하게 적혀 있습니다. 풀이 또한 그렇습니다. 혼자하시다가 맨 마지막에 봐주시기 바랍니다. 아주 간단해 보이는 군요. 저 QR CODE 를 풀고 휴대폰을 통하여 보면 될 것 같습니다. ... 아닌가 봅니다. 그러면 또 F12 창을 열어봅시다. 슬롯은 저 작은 네모 하나하나씩 구분하고 있기에 별 필요 없어 보입니다. 그럼 network 에 있는 패킷을 확인합시다. qr.png라는 그림 확장자를 가진 파일이 하나 있네요. 까보도록 하겠습니다. 저희가 원하는..

문제 풀이에 있어서 일단 리버싱 관련 문제는 아마 한 문제도 풀이 못할 것 같습니다... 제가 리버싱을 못합니다... 다른 라이트 업을 봐도 IDA같은 툴은 당연히 사용하는 법을 안다고 생각하고 라이트업을 써놨더라고요... 제가 나중에 배우면 그 때 쓰겠습니다. 문제에 들어가면 이렇게 로그인 창이 보이네요. 개발자 창에서 슬롯을 확인하면 function chk_form(){ var id = document.web02.id.value ; var pw = document.web02.pw.value ; if ( id == pw ) { alert("You can't join! Try again"); document.web02.id.focus(); document.web02.id.value = ""; docume..

이번 글은 webhacking.kr 의 첫 번째 문제 풀이입니다.wargame에 풀이는 입구가 아닌 출구 개념으로 보셔야 합니다.혼자 고민 해보시고 풀어보시길 바랍니다. 문제에 들어가시면 이렇게 level. 1 이라는 글자와 index.phps라고 적혀있습니다.일단 습관적으로 f12 창을 봅시다. 깔끔하네요. 패킷도 깔끔합니다.그럼 저기에 있는 index.phps를 주소창 뒤에 이어서 써봅시다. 이렇게 전 창의 구성요소가 적혀 있습니다.