과제 제출마감 10분전

25) 앞부분의 -rw-r--r---이부분은 뭔가 익숙해서 검색해보니 예전에 권한을 다룰 때 썼었던 것 같았다. 합계가 12라는 것은 권한에 막 숫자가 있고 이것들을 더한게 12라는 뜻 같은데 일단 파일에 신경을 쓰기로 했다. 파일은 총 3개로, 이중 password.php에 무언가가 있을 것 같아 이것을 열어보는 것이 문제가 아닐 까 싶다. 아래에 빈 칸은 입력해도 제출하는 게 없으니 딱히 무언가를 쓰는 칸 같지는 않고 소스코드에도 별다른 게 없었는데 주소창에 ?file=hello가 눈에 띄었다. password로 바꾸어도 안 되는 것을 보아 .php를 열수 있는 방법이 따로 있나 싶었다. 검색을 해 보니 %00이라는 문자는 다음에 나오는 문자를 무시하는 함수이고 이로 .txt를 무시할 수 있을 것 같..

38) 먼저 log injection에 대해 알아보기 전에 sql injection에 대해서 알아보았다. 가장 대표적인 웹 해킹 수법 중 하나라는 sql injection의 설명은 네이버 백과를 참고했다. SQL 인젝션을 이해하려면 우선 SQL(Structured Query Language)이 무엇인지 알고 넘어가야 한다. SQL은 데이터베이스(DB)를 만들고 유지하는 데 사용하는 프로그래밍 언어 중 하나다. DB를 구축하고 조작하기 위해 사용하는 일종의 명령어인 셈이다. SQL을 이용하면 데이터를 정의, 조작, 제어할 수 있다. SQL 인젝션은 웹사이트 취약점을 찾아, DB를 관리하는 SQL 명령어에 악성코드를 삽입해 해커가 원하는 식으로 조작하는 웹 해킹 공격 중 하나다. 개발자가 의도하지 않은 SQ..

24) 24번 문제를 보니 ip주소가 나오고 아래에는 agent라는 것이 떴다. 아래에 뜬 주소같은것은 이번에 JFS에서 본 형식이었는데, 그걸 그냥 구글에 검색하니까 뭔가 크롬 버전? 그런것이 나왔었다. 즉, 위에는 내 ip주소고 아래는 내가 접속한 크롬의 버전정보? 비슷한 것이었다. wrong ip라고 나오는 것을 보니 ip를 수정해야 하지 않을까 싶었다. 그러고 소스를 봤는데 client ip(ip주소)agentMozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36Wrong IP! 소스코드가 어디 있는지 가리키고 있어 그 주소로 들어가니 php 코드..

1) 들어가면 간단한 문구만 뜬다. 소스 코드를 확인하면 소스 코드도 엄청 간단하게 되어 있는데, --------------------- level : 1 ----- index.phps ----- index부분을 클릭해야 할 것 같아서 클릭했더니 어떤 코드가 뜬다. --------------------- ----- index.phps ----- userlv의 쿠키값이 5를 넘을 시 solve가 실행되지만 6을 넘거나 같으면 1로 돌아가는 코드이다. 초기에 1?로 있는 쿠키값을 5

10) 문제를 들어갔을 때 뜨는 페이지(O부분에 커서를 가져가면 yOu로 바뀐다. 커서를 떼면 원래대로 돌아온다.) ctrl+u로 소스코드를 보면 스타일을 지정해준 코드 뒤에 마우스를 가져가는 것과 떼는것에 대한 코드가 있고 뒷부분에 클릭하는 것에 관한 소스가 있다. >>this.style.posLeft+=1;if(this.style.posLeft==800)this.href='?go='+this.style.posLeft 이 부분에서 뭔가 왼쪽으로 이동한다는 뜻인 것 같아 한번 클릭해보았더니 왼쪽으로 글자가 움직였다. 움직이는것이 힌트일 것 같아 다시 코드를 보니 800번 움직이면 무언가 행동을 하는 것 같은 문장이 있었고 소스를 800에서 2로 수정하여 두번 움직여봤지만 ...아랫쪽에 no hack이 뜨..

03) 14번문제 문제를 들어가면 간단한 입력창 하나만 뜬다. 페이지 소스에서 scipt부분을 보면 function ck() { var ul=document.URL; ul=ul.indexOf(".kr"); ul=ul*30; if(ul==pw.input_pwd.value) { alert("Password is "+ul*pw.input_pwd.value); } else { alert("Wrong"); } } 이렇게 되어있는데 모르는 부분이 많아서 한줄한줄 찾아보았다. var ul=document.URL; - ul이라는 변수에 페이지 주소를 입력하고 ul=ul.indexOf(".kr"); - 페이지 주소가 들어가있는 ul에서 .kr이 앞에서 몇번째글자인지를 구해서 ul에 들어가고 ul=ul*30; - 30을 ..

00) 가입문제(register버튼이 없음) 처음엔 01가지고 해석해서 저 창에 넣는건줄알았다 근데 이건 영 아닌 것 같았고 친구의 도움을 받아 ctrl+u키로 소스코드를 찾게되었다html로 짜여진 코드안에 초록색 부분이 있는데 안에 있는 주소가 뭔가 범상치 않아 보였다.그래서 webhacking.kr의 주소 뒤에 붙여주었더니이런 창이 뜬다 (나중에 찾아보니 까지가 주석 부분으로 이 부분만 지워서 코드를 수정하면 버튼이 생긴다고 한다. 하지만 코드 수정하는 법을 잘 모르겠다.) 만들 아이디와 비밀번호와 이메일 주소를 넣은 다음 마지막 줄인 디코드하라는 문자열은 디코드가 무슨 뜻인지 몰라 찾아봤다. 뭔가 해석하라는 뜻인 것 같아서 디코딩사이트를 찾아 암호를 풀었더니 ip주소가 나왔다. 이 주소를 입력하면 ..