hack_woong hack_woong

old-17 페이지 소스 코드를 살펴보면 입력 창에 입력하는 pw의 값이 unlock과 같으면 문제가 해결된다. 개발자 도구(F12)의 콘솔 창에 unlock을 입력하면 7809297.1이란 값이 나온다. 이 값을 입력 창에 입력하면 문제를 해결할 수 있다.

old-16 노란 별 2개와 회색의 작은 별 1개가 있다. 페이지 소스 코드를 살펴보면 Challenge 16 * mv() 와 kk()를 찾을 수 있다. mv()의 내용에서 cd가 124면 어느 페이지로 이동할 수 있다. 즉, mv(124)를 하면 문제를 해결할 수 있을 것 같다. 개발자 도구(F12)의 콘솔 창에 mv(124)를 입력하면 문제를 해결할 수 있다.

■리눅스 서버 분야 1. 서버 가상화 가상화는 단일의 물리적인 IT 자원이 동시에 다수의 논리적인 IT 자원으로 사용될 수 있도록 하는 기술 (테스크톱 가상화, 서버 가상화, 스토리지 가상화, 네트워크 가상화) · 서버를 구성하는 모든 자원의 가상화 · 하나의 물리적 서버 호스트에서 여러 개의 운영체제를 게스트로 실행할 수 있게 해주는 소프트웨어 아키텍처 · 여러 개의 애플리케이션, 미들웨어 및 운영체제들이 서로 영향없이 동시에 사용 가능 · 하이퍼바이저는 기존의 물리적인 머신의 자원을 추상하여 가상머신상에서 운영 서버 가상화의 목적 · 서버들을 하나의 서버로 통합하여 물리서버 및 공간 절감 · 하나의 서버가 오작동하더라도 다른 서버에서 동일 애플리케이션 구동 가능(리던던시(redundancy) 확보) ..

■리눅스 동향 1. 1991년 초기 리눅스는 주로 서버로 이용 2. 현재 리눅스 활용 분야는 서버, 데스크톱 및 개발, 임베디드 분야 3. 리눅스 탑재 운영체제 판매는 증가, 유상 리눅스 운영체제 서버 판매는 감소 추세 4. 리눅스는 기본적으로 POSIX 표준, 인터넷 프로토콜 표준 등 국제표준 준수 5. 리눅스는 저작권법상 컴퓨터 프로그램으로서 저작권법의 보호 대상 ■리눅스 관련 기술 1. 클리스터링 · 여러 개의 시스템이 하나의 거대한 시스템으로 보이게 만드는 기술 · 여러 개의 컴퓨터를 네트워크를 통해 연결하여 하나의 컴퓨터처럼 동작하도록 제작한 시스템 클러스터 노드 · 클러스터의 실직적인 작업 처리 · 클러스터 노드는 클러스터에 속하도록 구성 클러스터 관리자 · 각 노드에 대한 자원 분배 및 관리..

old-15 문제에 접속하자마자 접근이 거부되었다. 접속하는 순간 페이지 소스 코드를 보기위해 마우스 오른쪽 버튼은 동작하지 않고, 개발자 도구(F12)는 아무것도 출력되지 않았다. Burp Suite를 이용해서 페이지 소스 코드를 살펴보면 alert를 이용하여 "Access_Denied"를 경고창을 띄운다. 그리고 /는 루트 경로를 의미하기 때문에 빨간 줄의 경로로 이동한다. 즉, Burp Suite를 이용해 Response에서 script의 두 줄을 지우면 된다.

old-14 하나의 입력 창이 있다. 페이지 소스 코드를 보면 자바스크립트로 만들어진 ck()가 있다. var ul=document.URL; document.URL은 현재 주소로 "https://webhacking.kr/challenge/js-1/" ul=ul.indexOf(".kr"); ".kr"이 나오는 인덱스를 반환한다. 따라서 18을 반환한다. ul=ul*30; 이므로 ul=540이다. 따라서, 입력 창에 540을 입력하면 문제를 풀 수 있다.

blue dragon GET 방식으로 전달받은 id와 pw에서 prob, _, .을 필터링한다. $query의 결과를 $result 배열에 저장한다. 이 $result['id']의 값이 있으면 "Hello admin"을 출력한다. 그 뒤, 전달받은 id와 pw에 싱글 쿼터('), '\'를 필터링한다. 두 번째 $query의 결과를 $result 배열에 저장하고 $result['pw']의 값이 전달한 pw와 값이 같으면 문제가 풀린다. 앞의 문제 처럼 한 줄 주석을 사용해서 먼저 풀어보았다. ?id=admin%23&pw=%0a을 입력해서 쿼리를 select id from prob_blue_dragon where id='admin#' and pw=' ' 의 형태로 만들어 보면 아무것도 출력하지 않는다. 필터..

old-13 제출 칸에 1을 입력하면 0을 입력하면 2를 입력하면 1을 입력하면 1을 2를 입력하면 0을 0을 입력하면 아무것도 출력하지 않는다. 1이면 참 0이면 거짓인 것 같다. 페이지 소스 코드를 살펴보면 SQL INJECTION result0 제출 칸에서 필터링 되는 문자를 살펴보면 사칙연산(+, -, *, /), #, --, , =, like, and, 공백, &&, ||, where, ascii, union 등 감을 못잡아 https://k-owl.tistory.com/156를 참고해서 풀었다. ■데이터베이스 이름 길이 찾기 database()는 데이터베이스 이름을 돌려주는 함수다. 공백을 필터링 하기 때문에 ()를 사용한다. GET 방식이므로 ?no=(0)or(if(length(databas..