웹 해킹 검색 결과

해당 글 18

[LOS]1번 gremiln

LOS에서 처음 푸는 문제이다. 1번 문제인 gremiln 위와같은 무서운 사진으로 링크가 걸려있다. 클릭해보자 소스와 함께 쿼리라는 부분이 있다. DB에서 값을 빼오는것 같은데 전송하는 input은 없다. GET방식이니 주소창에 입력해보자 내가 입력한대로 쿼리를 볼 수 있다. 공부하기에 정말 좋은것 같다 한번 풀어보자 id가 %%에 만족하는 결과값을 가져오는것이다. 꼭 관리자계정이 아니어도 통과되기 때문에 like를 이용해 조건 검사를 했다. 다른 방법으로 풀어보자 1=1은 참이되기 때문에 첫번째 사용자 정보를 가져와 이또한 통과된다. 그럼.... 정확한 계정 정보를 알아보자 왠지 admin일것 같으니 like 'adm%' 참이 떴으니 id='admin' 아주 잘된다 ㅎㅎ 그럼 비밀번호는? ........
Wargame/LOS(eagle-jump) 2017. 7. 31. 16:24

[Webhacking.kr]회원가입하기

우선 webhacking.kr이라는 사이트에 대해 먼저 소개를 하면 국내 웹 분야에서 가장 유명한 워게임사이트다. 워게임사이트란 보안 공부를 하기 위해 여러 문제를 풀어보는 사이트이다. webhacking.kr 외에도 다양한 사이트들이 존재하니 찾아보면 좋다. 우선 오늘은 webhacking.kr에 회원가입을 하려고 한다. 먼저 사이트에 들어가보면 아래와 같은 페이지가 나온다. 여기서 한가지 이상한 점을 찾을 수 있는데 바로 회원가입버튼이 없다는 것이다. 어딘가에 숨겨져 있을것이 분명하므로 우선 페이지 소스를 보았더니 아래와 같은 주석처리된 구문을 볼 수 있었다. 주석처리된 소스를 잘 보면 onclick을 통해서 다른 페이지로 넘기는것을 볼 수 있다. 저 URI를 복사해서 URL에 아래와 같이 덧붙여보자..
Wargame/webhacking.kr 2017. 6. 28. 12:59