목록2018/04 (4)
GaGe
Web hacking 18 이 글은 실시간으로 풀면서 쓰는 글입니다. 원래 한번 다 풀고 글을 한번에 작성하여 올리지만 이 18번 문제는 지금 3일 째 이해를 못하고 해결도 못하고있기 때문에 이 도전을 마지막으로 생각하고 만약 이번에도 이해하지 못하면 다가오는 30일에 동기의 발표를 듣고 다시 도전해보겠습니다. 일단 18번 문제에서 제공해주는 소스코드입니다. 위에서 보면 GET[no]가 if eregi (찾아볼 함수)~~~~~~~라면, exit no hack(실패) if q[0]가 guest라면 hi guest를 출력. if q[0]rk admin이라면 solve! 문제 해결이다 일단 이 18번은 SQL injection이라고 하니 이 것이 뭔지 알아보았다. SQL 삽입(영어: SQL Injection,..
Web hacking 17 일단 맨 처음에 소스코드를 뒤져봤는데 딱히 패스워드에 대한 설명이나 solve 함수도 안 보이고 그랬는데 script에서 엄청나게 긴 수식이 있었습니다. 아래 함수를 보니 pw에 이 결과값을 넣으면 10으로 나눠진 값이 비밀번호다! 라고 말해주는 함수였습니다. 해당 수식을 파이썬으로 계산했습니다. 9997809307이라는 값이 나와서 그대로 입력해보았습니다. 그랬더니 예상대로 password is ~~ 라고 10으로 나누어진 값이 나왔습니다. 그 값을 다시 넣어보았습니다. 하지만 wrong 이라고 뜨더군요. 당연하죠! 저 수식의 정답이 아니니까요. 이 값을 그냥 auth에 넣으면 풀릴 것 같았습니다. 예상대로 웹이 알려준 10을 나눠준 값을 넣었더니 17번이 풀렸다고 합니다!
Web hacking 16 소스코드 * * 하나하나 읽어보자 bgcolor (back ground color) = "black" --> 배경 색은 black으로 덮는다 onload="kk(1,1)" --> body 스크립트가 모두 구현, 실행된 후 onload 실행. onkeypress"mv(event.keyCode)" --> onkeypress는 사용자가 키보드로 무언가를 눌렀을 때 event를 발생시키는 명령어이다. 무언가를 눌렀을 때 mv 함수가 실행되는 것이다. event.keyCode로 사용자가 누른 키의 값을 반환한다. 그아래 코드들은 그냥 * 을 출력하는 내용들인 것 같습니다. function mv(cd) { kk(star.style.posLeft-50,star.style.posTop-50)..
Web hacking 04 일단 4번 문제의 페이지를 소스코드(f12)를 열어보았습니다. 근데 페이지 구성하는 디자인 뿐, 특별한 힌트나 주석 등은 보이지 않았습니다. 역시 주어진 힌트는 저 base64방식으로 암호화된 것으로 추정되는 문자열 뿐인가봅니다. (이젠 base64로 암호화 된 것이라는 문자열이 조금씩 보이기 시작하는 것이 제 스스로 대견합니다.) web hacking 사이트에서 제공하는 디코딩 기능을 활용하겠습니다. 창에 문자열을 넣고