hack_woong hack_woong

red dragon GET 방식으로 전달받은 id에서 prob, _, .을 필터링한다. 그리고 전달받은 id의 길이가 7보다 크면 "too long string" 메시지를 출력한다. 전달받은 no가 숫자로만 이루어졌다면 전달받은 그대로 $no가 되고, 숫자가 아닌 다른 문자가 있다면 $no는 1이 된다. select no from prob_red_dragon where id='admin' 을 수행한 결과의 no 값과 전달받은 no의 값과 타입이 모두 같으면 문제가 풀리게 된다. ?id=admin'%23을 입력하면 "Hello admin"을 출력한다. 참인지 거짓인지 구분하기 위해서 no에는 숫자만 입력해야 한다. #(한줄 주석)을 사용해서 and no를 주석처리 하고 %0a(line feed)로 줄 바꿈..

1. ifconfig : 네트워크 인터페이스 구성을 위한 설정 또는 확인하는 시스템 관리 유틸리티 2. ping : 특정 호스트 또는 네트워크 장비까지의 통신 가능 여부를 점검하는 ICMP 기반의 명령어 3. traceroute · 특정 호스트 또는 네트워크 장비까지의 어떤 통신경로를 걸쳐 패킷이 전달되는지 확인 가능한 명령어 · 목적지까지의 홉 수(게이트웨이 수) 및 통신 장애 구간을 확인 가능 4. route · 라우팅 테이블을 확인 · 시스템에 설정된 게이트웨이 주소값을 확인할 때 사용 · 라우팅을 확인하거나 변경할 때 사용 5. nslookup : 인터넷 도메인 네임서버에게 특정 호스트에 대한 정보를 질의하는 대화식 명령어 · nslookup [-type=레코드] [호스트명] 6. netstat ..

네트워크 인터페이스를 자동 또는 수동으로 인식 후에는 네트워크 설정 파일과 관련 명령어를 이용하여 TCP/IP 관련 설정을 한다. ■IP 주소 설정 1. 네트워크 설정 파일로 주소 설정 · /etc/sysconfig/network 또는 /etc/sysconfig/network-scripts/ifcfg-ethX로 IP 주소 할당 2. 명령어를 이용한 주소 설정 · ifconfig 인터페이스명 netmask [broadcast ] [up|down] 3. 유틸리티를 이용한 주소 설정 · nmtui(network manager text user interface) : 네트워크 주소 관련 설정 수행 · X윈도 그래픽 모드에서는 gnome-control-center와 nm-connection-editor를 이용해 ..

네트워크 설정파일은 배포판 별로 다를 수 있지만 /etc/sysconfig/network /etc/sysconfig/network-scripts/ifcfg-ethX (데비안에서는 /etc/network/interfaces) 1. /etc/sysconfig/network · 네트워크의 기본 정보가 설정되어 있는 파일 · 시스템 전체의 게이트웨이주소, 호스트명, 네트워크 연결 허용 여부 설정 항목 설명 NETWORKING=yes|no 네트워크 사용 유무 HOSTNAME=호스트명 전체 도메인명 지정 GATEWAY=GWIP 주소 게이트웨이 주소 GATEWAY DEV=디바이스명 게이트웨이로 연결된 장비명 2. /etc/sysconfig/network-scripts/ifcfg-ethX · 지정된 네트워크 인터페이스..

■네트워크 인터페이스 설정 1. 리눅스는 다양한 네트워크 인터페이스를 지원 인터페이스명 설명 lo 루프백 인터페이스 eth 이더넷 인터페이스, 인터페이스 번호는 0부터 시작 pop PPP 인터페이스 dl D-Link-DE-600 포켓 어댑터 시리즈의 인터페이스 plip 병렬(페러렐) 라인 인터페이스 sl SLIP 인터페이스 2. 일반적으로 네트워크 인터페이스는 자동으로 인식되지만 자동으로 인식되지 않을 경우 수동으로 설정 3. 네트워크 인터페이스 수동 설정 방법은 컴파일된 인터페이스 모듈을 커널에 적재하는 것(수동 적재, 자동 적재) 모듈 적재 방법 설명 수동 모듈 적재 관련 명령어 - /sbin/lsmod : 현재 적재되어 있는 모듈들의 정보 확인(list) - /sbin/insmod : 적재하고자 하..

old-12 자바스크립트 문제인 것 같다. 페이지 소스 코드를 살펴보면 javascript challenge 감정 표현으로 이루어진 코드를 살펴볼 수 있다. 구글링을 통해 찾다 보니 자바스크립트의 aaencode 라는 것을 알게 되었다. aadecode 사이트를 통해 풀어보면 var enco=''; var enco2=126; var enco3=33; var ck=document.URL.substr(document.URL.indexOf('=')); for(i=1;i

green dragon GET 방식으로 전달받은 id와 pw에서 prob, _, ., ', " 를 필터링한다. $query를 통해 id와 pw를 가져와 $result 배열로 저장한다. $result['id']가 참이면 $query2를 통한 id를 $result 배열로 저장한다. $result['id']가 'admin'이면 문제가 풀린다. '\' 뒤에 특수문자가 오면 일반 문자로 인식한다. ?id=\&pw= or 1=1%23을 입력하면 항상 참이지만 아무 것도 출력하지 않는다. prob_green_dragon 테이블이 비어있음을 짐작할 수 있다. 따라서 union select를 이용해야 한다. ?id=\&pw=union select 1,2%23을 입력하면 select id,pw from prob_green..

■WWW(World Wide Web) 서비스 1. 프로토콜 HTTP를 기반으로 한 멀티미디어와 하이퍼텍스트를 통합한 정보 검색 시스템 2. 인터넷에 연결된 전 세계 컴퓨터의 모든 문서들을 언제 어디서든 다양한 컴퓨터에서 검색 가능 3. 다양한 그래픽 유저 인터페이스들을 사용하는 것이 가능 4. 분산 클라이언트-서버 모델을 기반 5. 표준 웹 프로토콜(HTTP, XML, SOAP, WSDL, UDDI)을 기본으로 하여 서로 다른 개발 환경과 운영체제에서도 상호 통신 가능 ※ 고퍼(Gopher) 서비스 인터넷상의 정보들을 체계적으로 분류하여 사용자가 특정 정보가 저장되어 있는 서버의 주소를 모드더라도 메뉴 방식의 인터페이스를 이용하여 쉽게 찾을 수 있음 ■메일 서비스 1. 전자 메일 시스템은 컴퓨터 사용자까..