전체 글91 [CTF] webhacking.kr 20번 Write-Up webhacking.kr 20번 문제풀이 Write Up 입니다. 2초의 시간 제한이 있다고 적혀 있고, 아래 칸에는 적는 게 있습니다. 추측을 하자면 nickname과 comment, 랜덤으로 바뀌는 captcha까지 입력을 하고 Submit를 2초 내로 하라는 것 같습니다. 2초 내로 못 하면 느리다고 제출을 받아주지 않습니다. 신컨이 가능하다면 그냥도 풀 수 있겠지만 저는 그럴 능력이 안 되기 때문에 다른 방법을 생각해봅니다. javascript를 활용해 보겠습니다. document.querySelector()를 이용하면 특정 영역 선택이 가능하고, value 메소드를 이용하면 내용을 채울 수 있습니다. 먼저 nickname을 채워보겠습니다. nickname 텍스트상자 name이 'id'로 정의가 .. 2022. 10. 15. [CTF] webhacking.kr 19번 Write-Up webhacking.kr 19번 문제풀이 Write Up 입니다. id를 입력하는 칸이 있고, admin이 기본값으로 들어가 있습니다. [그림 1]의 상태로 바로 Submit를 하면 사기치지 말라고 합니다. 아무거나 치고 Submit를 했더니 반갑다는 표시가 뜹니다. 근데 로그아웃은 작동을 하지 않습니다. logout 버튼을 누르면 로그아웃이 되지 않습니다. 이것저것 뒤저보다가 cookie가 있는 것을 발견했습니다. 저기 뒤에 %3D는 = 입니다. 맨 뒤에 =는 base64 인코딩할 때 패딩으로 많이 사용하는데, base64로 인코딩 된 값임을 유츄할 수 있습니다. base64 디코딩을 한 결과입니다. 디코딩이 되긴 했지만 아직은 알아볼 수 없습니다. 해당 결과를 긁어와 다시 디코딩을 시도했지만, 깨져서.. 2022. 10. 15. [CTF] webhacking.kr 18번 Write-Up webhacking.kr 18번 문제풀이 Write Up 입니다. 대놓고 SQL Injection을 하라고 합니다. 소스코드를 살펴보면, SQL문이 하나 보입니다. 2022. 10. 14. [CTF] webhacking.kr 17번 Write-Up webhacking.kr 17번 문제풀이 Write Up 입니다. 입력 칸이 하나 있습니다. F12를 눌러보면 script가 하나 있습니다. unlock 값을 입력하면 문제가 풀리는 것 같습니다. console에서 값을 계산합니다. 계산 후 나온 값을 입력합니다. 값이 일치하면 정답처리 됩니다. 2022. 10. 14. [CTF] webhacking.kr 16번 Write-Up webhacking.kr 16번 문제풀이 Write Up 입니다. 별이 있습니다. F12를 눌러보면 script가 하나 보입니다. 주석에 do it!이라고 되어 있는 부분이 있는데, 이걸 하면 될 것 같습니다. 일단 한번 해 봅시다. mv() 함수 안에 있으므로, mv(124)를 해 봅니다. script를 입력하면 문제가 정답처리 됩니다. 2022. 10. 14. [CTF] webhacking.kr 15번 Write-Up webhacking.kr 15번 문제풀이 Write Up 입니다. 그냥 입구컷을 해버립니다. 계속 끄적대다가, 15번 문제가 js 문제인 것을 발견했습니다. 그래서 javascript 비활성화 시키고 들어가 보기로 했습니다. F12를 누르고 나오는 창 상단을 보면 설정 버튼(톱니바퀴 모양)이 있는데, 누르면 [그림 2]처럼 뜹니다. 아래로 내려 Disable JavaScript에 체크합니다. Level 15 페이지로 접속해 보겠습니다. 비활성화 시킨 후에 URL에 직접 입력해서 들어가야 합니다. 접속하면 아무것도 안 뜨는데, F12를 눌러보면 스크립트가 나옵니다. flag를 얻는 URL이 보입니다. URL 뒤에 ?getFlag를 입력하면 될 것 같습니다. URL 뒤에 ?getFlag를 입력하고 접속해봅니.. 2022. 10. 14. [CTF] webhacking.kr 14번 Write-Up webhacking.kr 14번 문제풀이 Write Up 입니다. 입력할 수 있는 칸이 하나 있습니다. 아무거나 넣고 check를 하면 틀렸다는 메시지가 나옵니다. F12를 눌러서 소스코드를 확인했는데, script가 걸려 있는 것을 알 수 있습니다. function ck(){ var ul=document.URL; ul=ul.indexOf(".kr"); ul=ul*30; if(ul==pw.input_pwd.value) { location.href="?"+ul*pw.input_pwd.value; } else { alert("Wrong"); } } ul이랑 [그림 1]에서 본 입력칸 입력 내용이 같으면 문제가 해결되는 것 같습니다. 일단 ul에 어떤 값이 저장되는지 console로 돌려 보았는데, 540이 .. 2022. 10. 14. [CTF] webhacking.kr 12번 Write-Up webhacking.kr 12번 문제풀이 Write Up 입니다. javascript challenge라고 합니다. F12를 눌러 script를 확인해봅니다. 하... 짜증이 조금 날 것 같습니다. 짜증은 문제 틀렸을 때 내기로 하고 script를 살펴봅니다. 아마 난독화 되어 있는 script인 것 같습니다. 이렇게 난독화되어 있는 것을 검색해 보았습니다. 일본 이모티콘 난독화 이렇게 검색을 했는데, aaencode / aadecode를 발견했습니다. https://utf-8.jp/public/aaencode.html aaencode - Encode any JavaScript program to Japanese style emoticons (^_^) aaencode demo aaencode - Enco.. 2022. 10. 14. [CTF] webhacking.kr 11번 Write-Up webhacking.kr 11번 문제풀이 Write Up 입니다. 다짜고짜 틀렸다고 합니다. 도대체 뭐가... 이해를 위해 view-source를 클릭해 보겠습니다. 소스코드를 살펴보면 이렇습니다. val에 특정 문자열이 들어가면 문제가 풀리는 것 같습니다. 그리고 val은 GET 방식으로 값이 전송되고 있습니다. 일단 if 조건을 만족할 문자열을 만들어 보겠습니다. $pat="/[1-3][a-f]{5}_.*$_SERVER[REMOTE_ADDR].*\tp\ta\ts\ts/"; 이 정규식을 만족하면 됩니다. []의 의미는 해당 문자 중에 하나 있으면 되고, {}의 의미는 바로 앞의 문자가 괄호 안의 수 만큼 있으면 된다는 의미입니다. $_SERVER[REMOTE_ADDR] 는 현재 PC IP를 적으면 됩니.. 2022. 10. 14. [CTF] webhacking.kr 10번 Write-Up webhacking.kr 10번 문제풀이 Write Up 입니다. 문제에 접속하면 육상트랙이 하나 보입니다. O 글자에 커서를 가져다 대면 yOu가 됩니다. 이 글자를 클릭하면 오른쪽으로 이동합니다. [그림 2, 3]과 [그림 4]를 비교해보면 위치가 달라진 것을 알 수 있습니다. 맨 오른쪽에는 노란색으로 Goal 표시가 있습니다. 아무 생각 없이 Goal 표시가 있는 곳 까지 직접 클릭해 보았는데 문제가 풀려버렸습니다. 무식하게 문제가 풀렸는데, 다시 돌아와서 F12를 눌러 코드를 확인해봅니다. O 글자에 대한 코드입니다. onclick에 클릭하면 실행되는 script가 작성되어 있습니다. this.style.left=parseInt(this.style.left,10)+1+'px'; if(this.st.. 2022. 10. 14. 이전 1 ··· 3 4 5 6 7 8 9 10 다음
