전체 글
-
-
webhacking.kr 23번(php문제)카테고리 없음 2020. 1. 5. 15:32
xss공격을 우회하는 문제인것 같다 한글은 두글자 이상 가능하지만 영어는 2글자 이상 넣을시 no hack이라 뜬다. 결론은 영어 2개 이상 붙여쓰면 안된다는것이다. 소스코드를 보아아하니 form이 get방식으로 보내서 code라는 변수에 넣어진다. 그렇다면 url에 보내봤지만 no hack이라 뜨며 안떳다. 근대 보통 웹페이지에서 게시판에 글을쓰든 댓글을 쓰든 post방식으로 보내는걸로 아는대 get방식이라는 것은 이번문제에 해결방법인것 같다. urlencode로 값을 보내봤다. %3Cscript%3Ealert%281%29%3B%3C%2Fscript%3E 한번한것 %253Cscript%253Ealert%25281%2529%253B%253C%252Fscript%253E 두번한것 이렇게 보내도 no hac..
-
webhacking.kr 33번(php문제)보안공부/워게임 2020. 1. 2. 20:05
문제를 들어가서 바로 보면 이런창에 view source에 하이퍼링크가 걸려있고 소스는 아래와 같다. Challenge 33-1 view-source get 변수가 hehe로 get방식으로 들어오면 다음 창으로 넘겨가는 a태그가 생성된다. 다음으로 가면 이번에는 post방식으로 넘겨야 한다. Challenge 33-2 view-source post 방식으로 hehe 와 hehe2를 보내면 똑같이 나올 것 같다. 툴을쓰면 빠르겠지만 상황이 안되서 인터넷에서 검색해서 사용 아래 소스 입력하면 POST방식으로 넘겨줌 a =new XMLHttpRequest()// a.open("POST","https://webhacking.kr/challenge/bonus-6/lv2.php",true);// a.setReque..
-
webhacking.kr 1번(php문제)보안공부/워게임 2019. 12. 28. 10:09
아래 view source를 누르면 아래 소스코드가 나온다. ---------------------
-
webhacking.kr 6번(php문제)보안공부/워게임 2019. 12. 27. 19:34
맨아래 if문을 보면 $decode_id = admin 이고 decode_pw = nimda이면 문제가 해결되는 코드이다. 맨첫번째 php코드에서 id와 pw에 guest 123qwe를 넣는다 아래 사진처럼 password user에 쿠키값이 들어가 있는대 둘의 값은 동일하다. 이 두개의 쿠키값을 각각 decode_id, decode_pw에 넣게되는대 결국 admin nimda 값을 base 64로 20번 인코딩후 넣으면 서버에서 자동으로 디코딩해서 admin nimda가 나오게 된다. 파이썬 코드 : import base64 a="admin" b="nimda" for i in range(1,20) : import base64 a = "admin" a_s = a.encode("UTF-8") b = "ni..
-
소개카테고리 없음 2019. 11. 23. 18:38
1. 자기소개 - 2024 : 네이버 버그바운티 Hall of Fame 2024 등재 - 2023 : 네이버 버그바운티 Hall of Fame 2023 등재 - 2023 : 네이버 PER제도 최종 2등 - 2020.08 : 정보보안 컨설팅 회사 취업(~ing) - 2020.04 : 케이쉴드 주니어 정보보호관리진단과정 4기 수료(KISA원장 인증서) - 2019.12 : 정보보안 산업기사 최종 합격 - 2018.07 : 군대 정보보호병 입대(현재 진행중 ~ 2020.03) - 2017.02 : 인하공업 전문대학교 컴퓨터 정보과 교내 근로학생 (17.02 ~ 18.06) - 2016 : 인하공업 전문대학교 컴퓨터 정보과 입학 2. 버그바운티 이력 - 2023년 : 네이버 PER제도 14건 - 2024년 : ..