Haword's blog

네 안녕하세요. Godhaword 입니다.오늘 다뤄볼 주제는 파일 업로드 취약점입니다. 조사 및 정리를 하다보니 RFI, LFI랑 비슷했는데요. 개인적인 느낌이라면 LFI, RFI는 집을 털때 굴뚝으로 들어가는 느낌이고, 파일업로드 취약점은 문 뿌수고 들어가는 느낌이 옵니다.목차는1. 파일 업로드 취약점이란?2. 파일 업로드 취약점이 생기는 이유3. 파일 업로드 취약점을 공격하는 방법4. 문제 예제5. 파일 업로드 취약점을 예방하는 방법 이렇게 나가겠습니다. 문제는 3가지 문제를 예로 들텐데.. 마지막 한 문제 때문에 오래 걸렸습니다.. 1. 파일 업로드 취약점이란?파일 업로드 기능을 사용하여 공격자가 원하는 웹 쉘을 해당서버에 올려 저희가 원하는 행동을 취할 수 있게하는 취약점입니다.(또 습관적으로 인..

1. system('실행하는 코드'); 하면 뭐 되길래 ls whoami 이런 간단한 명령문 넣어보려함. 하지만 위 사이트는 system()를 필터링하는 것 같음코드도 원래는$godhaword=실행문echo $godhaword로 했으나 그냥 그럴꺼면 echo 실행문 적어도 될꺼같아서 코드를 변형해봄;같은거 안쓰면 저렇게 parse error가 뜸? 뭘 검색한거지 아마 ls 를 검색한거같음이 코드를 넣어도 무난히 작동은함근데 왜인지 echo 위에 엔터 안누르면 에러가 뜸base64 인코딩 된것의 마지막이 ==으로 되면 인젝션? 성공이고 아니면 실패 다른 예가 더 있어야 base64 뒤에 기호가 성공루틴인지 알 수 있을 꺼 같음 조만간 system() 말고 다른 함수 삽입 방법 알게되면 더 써볼 예정

네 안녕하세요. Godhaword 입니다. RFI는 LFI와 상당히 비슷한데 악성 스크립트를 공격자가 만들어서 서버에 전달한다는 점이 좀 다릅니다. 목차는 1. RFI 란? 2. RFI 가 작동하는 원리 3. RFI 를 하는 방법 4. RFI 예제 5. RFI 를 막는 법 RFI와 LFI가 기본적인 부분은 비슷하기에 여기서 부족한 설명은 LFI 글에서 더 참고 하시면 될 것 같습니다. 1. RFI 란?Remote File Inclusion, 즉 원격으로 파일을 포함시키는 공격입니다. Q : 뭔소리냐 A : 공격할 서버에 php 파일을 업로드 할 수 있고, 그 php 파일을 저희가 수정 및 제작해서 올릴 수 있으면 RFI 공격이 가능해진단 겁니다. 공통점이라하면 사이트가 get이나 post 부분에 적절한 ..

네 안녕하세요. Godhaword 입니다. 일단 즐거운 추석되세요 꾸뻑(__) 오늘은 Local File Inclusion (이하 : LFI 또는 lfi)에 대해서 알아보겠습니다. 맨날 LFI 문제만 나오면, =flag.php, flag.txt, ../../../../etc/passwd 까지만 쳐보고 긁적긁적 하다가 다른 web문제로 넘어가곤 했는데요. 이번에 기회가 되어서 한 번 다루어보게 되었습니다. 저도 아직 공부하는 단계라 예제 문제로 보여드릴 문제 푸느라 포스팅이 약간 늦춰졌습니다. LFI 친구인 RFI 는 시간이 좀 더 걸릴 수 있으나 최대한 빨리 포스팅 하겠습니다. 목차는 1. LFI 란? 2. LFI 가 작동하는 원리 3. LFI 를 하는 방법 4. LFI 예제 5. LFI 를 막는 방법 ..

네 안녕하세요. Godhaword입니다. 이번에 쓸 글은 SSTI, Server-Side Template Injection 입니다. 목차는 1. Server-Side Template 을 사용하는 이유 2. Server-Side Template 의 취약점 3. Server-Side Template Injection 을 하는 방법 4. 예제 문제 풀이 순으로 쓰겠습니다. 1. Server-Side Template 을 사용하는 이유일단 설명에 앞서 정적 웹 페이지와 동적 웹 페이지가 무엇인지 알아두셔야 왜 SSTI를 사용하는지 더 쉽게 이해 가능합니다.정적 웹 페이지는 서버에 저장된 정보들을 그냥 보여주는 페이지고, 동적 웹 페이지는 서버에 있는 정보를 스크립트를 이용하여 한 번 가공하여 유저에게 보여주는 웹..

롤토체스 아이템 조합표

공지 필독 1. 휴대폰 이름들어간 닉네임 금지 2. 질문은 들어온지 1시간후에 가능(질문 답 튀 하시는 분 방지) https://open.kakao.com/o/gwZe8Nzb 컴퓨터 관련 톡방 오실분 오세용 3. 중복닉 핸드폰닉 불가, 기본닉 불가 - 기기 관련 닉 쓰실땐 특정 지을 수 있는 단어 추가 부탁드립니다. (ex : 파란색 아이폰, 아이폰 asdf, test / 맥북) 기본 닉 달고 질문 및 활동시 임의 추방 대상이 됩니다 욕설(초성포함) 비하나 시비거는 행동 자제 부탁드릴께요. 4. 방장 부를 땐, 갓하워드,하워드,방장 세가지 두 가지 중 한 가지로 불러주시거나 프로필 누르시고 1 : 1 채팅 해주시면 그나마 빨리 볼 수 있습니다.(방장은 부방장에도 중복이 되어 잘못된 호출을 방지하기 위하여..

네 안녕하세요. Godhaword 입니다. 컴퓨터 부품 알아보자도 대충 중요한 부분은 끝났고, 날씨는 너무 더워서 좀 쉬고 있었는데.. 라이젠 시스템을 구성해놓고 수동 오버클럭은 커녕 PBO설정도 안해놓고 사용하는 분들이 많아 글을 써봅니다. PBO를 설정하고 안하고는 자유지만, 기본 쿨러가 아닌 사제공랭에서 일체형 수랭급 쿨링을 구성한다면 PBO를 가급적이면 쓰는 것을 추천드립니다. 아주 간단하며 체감이 되는 세팅이기 때문에 꼭 해보시길 바랍니다. 목차는 1. PBO와 수동오버의 차이점 2. PBO 설정방법 3. 라이젠 CPU 언더볼팅 하는 법 4. 개인적으로 하고 싶은 말 1. PBO와 수동오버의 차이점 알아보자 CPU 편에서 언급을 해드렸으나 가장 큰 차이는 간편함이라고 생각됩니다. 쉽게 설명을 해..

네 안녕하세요. Godhaword입니다. 이번엔 뜨거운 CPU를 식혀주는 cpu쿨러에 대해 설명해드리겠습니다. 이번부터는 진짜 짧은 글이 되길 바라며... 목차는 1. 제품 읽는 법 2. 수랭과 공랭 차이 3. 흡기? 배기? 4. 추천하는 cpu쿨러 1. 제품 읽는 법 일단 corsair은 회사 이름입니다. 그 다음... 하이드로 시리즈 h115i rgb platinum 에서 범용적으로 아셔야 할 것은 없습니다..(사진 찍고 보니까.. 그리 좋은 예시는 아니네요..) 어.. 그나마 좀 좋은 예시입니다. Deepcool은 회사이름입니다. gammax는 제품군 이름이며 L240과 같이 가끔 280, 360, 140 이런 숫자가 붙는데 그것은 라디에이터 길이라고 보시면 됩니다. v2는 버전 2를 뜻하고 RGB..

원래 첫 사진은 제가 쓰는 부품 사진으로 하는데... 램은 저 램 아니면.. 저를 만족시킬수 없는...(미친 rgb와 감성..) 네 안녕하세요. Godhaword 입니다. 오늘은 ram에 관련된 이야기를 해보려합니다. 오버클럭 및 쿨링 관련 글도 중간중간 적어야하는데... 꽤 많이 귀찮네요... 기회가 되면 꼭 다루겠습니다. 뚜따(IHS 튜닝) 방열판이라던지... 목차로는 1. 제품명 읽는 방법 2. 램 오버클럭이란? 3. 방열판이 왜 필요한가 4. 램 추천 램 부터는 짧게 하려했는데.. 목차 또 4개 나오네요. 1. 제품명 읽는 방법 삼성전자는 제조사 이름입니다. 크게 램 제조사는 하이닉스, 마이크론, 삼성전자가 있으며 다른 회사는 제조사에서 수율 괜찮은 물건을 받아 커스텀하는 개념이라고 생각하시면 됩..

받자마자 10분 끄적끄적해보고 바로 반품각 잡았습니다.어.. 리뷰 할지는 모르겠는데... 하게 되더라도 반품보내서 많은 사진자료가 없다는 점 알아주시기 바랍니다..

네 안녕하세요. Godhaword 입니다.날씨가 엄청 더워서 오늘 글을 쓸까 말까하다가 일단 써봅니다.. 메인보드는 CPU와 그래픽카드와는 달리 적당히 자세하게 적을 것 입니다. 깊이 들어가면 모스펫 종류가 무엇이며, 뭐가 더 오버가 잘 들어가며, A사에 비해 B사가 뭐가 더 어떠니 뭘 어떻게 해라 너무 자세하게 들어가야 할 것 같아서 대충 스펙 읽는 방법이랑 알면 좋은 점들을 알려드리겠습니다. 1. 제품명 읽는 방법2. 대략 뭐하는 곳인지.3. 오버클럭을 조금이라도 효율적이고 잘 하게 하는 메인보드란?4. 메인보드 추천 순으로 하겠습니다. 1. 제품명 읽는 법 MSI는 제조회사명 입니다. MPG는 라인업 이름입니다. 회사에 따라 AORUS, EXTREME, TAICH, 막시무스, GODLIKE 등 하이..

네 안녕하세요. Godhaword입니다. 오늘은 그래픽카드에 대해 알아볼 것 입니다. 많은 분들이 컴퓨터나 조립컴퓨터 새로 맞췄다하면 주위에서 그래픽카드는 뭐로 바꿨냐고 물어볼만큼 컴퓨터 성능에 큰 영향을 끼치는 부품입니다. 목차는 1. 그래픽카드 제품명 읽는 방법 2. 그래픽카드가 하는 일 3. 그래픽카드 특징 4. RTX, DLSS란? 5. 그래픽카드 고르기 순 입니다. 제 기준으로 넘어가도 되겠다 싶은 건 넘어가겠습니다. 혹시 궁금하신 점은 댓글로 남겨주세요. 1. 그래픽카드 제품명 읽는 방법 1.엔비디아 제일 앞에 이엠텍은 회사명입니다. XENON은 제품명이며, 지포스는 엔비디아 제품이라는 것을 뜻합니다. 그 뒤에 RTX 제품은 레이트레이싱을 가능하게 하는 RT코어가 있다는 뜻이고 없으면 GTX ..

네 안녕하세요 GodHaword 입니다. 첫번째 시간으로는 어떤 CPU를 사야할지에 대하여 알려드리겠습니다. CPU를 나누는 가장 큰 범주인 intel과 amd의 차이점에 대해 알려드리며 어떤 유저에게 어떤 CPU가 적합한지에 대하여 알려드리겠습니다. 목차는 1. intel과 amd 제품명 읽는 법 2. intel과 amd의 차이 3. intel과 amd의 특징 4. 나에게 맞는 CPU 순으로 갈 것입니다. 최대한 음.. 너무 짜잘하거나 필요없다고 생각하는 부분은 과감히 설명 생략하겠습니다. 1. INTEL과 AMD 제품명 읽는 법1.INTEL 일단 위 제품은 인텔 코어 i9-9900KF 입니다. i3, i5, i7, i9 은 i뒤에 숫자가 높을 수록 비싸고 좋은 cpu라고 보시면 됩니다. 9900kf ..

네 안녕하세요. GodHaword 입니다. 이번에 컴퓨터를 한 대 맞추게 되었는데 어짜피 사게 될꺼면 많이 알아보고, 쫌만 더 기다렸다 사자해서 사기로 마음 먹었던 날로 부터 거의 1년 반? 기다렸던 것 같습니다. 전에 쓰던 컴퓨터는 하이마트가서 삼보(TG) 펜티엄 컴퓨터를 쓰던 중이라 어... 게임은 안하더라도 사양 좋은 컴퓨터에 대한 로망이 있었습니다. 라이젠3 세대도 나오고 라데온 5700 대도 나오고 RTX super 도 출시되며 많은 사람들이 컴퓨터를 맞출 것이라고 생각됩니다. 그런 사람들을 위하여 1년 반동안 공부해왔던 정보들을 나누려 합니다. 순서는 CPU(오버클럭) - 그래픽카드 - 메인보드 - RAM(오버클럭) - CPU 쿨러 - 파워 - 저장장치(SSD,HDD) - 케이스 - 케이스팬 ..