본문 바로가기

Wargame

[Dream Hack] xss-2 풀이
Wargame 2022. 9. 7. [Dream Hack] xss-2 풀이 2022.09.06 - [Web hacking] - [Dream Hack] xss-1 풀이 [Dream Hack] xss-1 풀이 Cross-Site-Scripting 를 이용한 문제로 자바 스크립트 코드에 대한 이해가 필요하다. 나도 처음 해보았기 때문에 많은 시행착오와 여러 정보들를 확인하였다. 문제 분석 입력받은 URL을 확인하는 봇이 taesam.tistory.com Cross-Site-Scripting 를 이용한 두번째 문제이다. 푸는데 굉장히 어려웠으나 xss 공격 코드에 대한 이해도가 높아졌다고 생각한다. 문제 분석 xss-1 문제와 동일한 정보와 웹 페이지를 제공한다. 각 페이지를 분석해보자. vuln(xss) page를 클릭한 페이지. URL을 보면 param에 xss 코드가 들어가있으나..
[Dream Hack] xss-1 풀이
Wargame 2022. 9. 6. [Dream Hack] xss-1 풀이 Cross-Site-Scripting 를 이용한 문제로 자바 스크립트 코드에 대한 이해가 필요하다. 나도 처음 해보았기 때문에 많은 시행착오와 여러 정보들를 확인하였다. 문제 분석 입력받은 URL을 확인하는 봇이 구현되어 있다고 한다. 아마 피해자 역할을 대신해서 해준다고 짐작해볼 수 있다. 바로 웹페이지를 확인해보자 바로 3개의 링크가 보인다. 어떤 기능을 하는 지 알아보자 첫번째 페이지 'vuln(xss) page' 의 경우 들어가자마자 alert가 실행되며 주소에는 param 값으로 xss 공격 코드가 입력되어있다. 이 페이지는 xss 공격을 위한 script가 작동하는 것을 알 수 있다. 두번째 페이지 'memo' 는 memo라는 파라미터 값에 들어간 데이터를 저장하여 입력된 모든 데이터를 출력해..
[Dream Hack] Cookie 풀이
Wargame 2022. 9. 1. [Dream Hack] Cookie 풀이 이번 문제는 저번 session-basic 문제와 아주 흡사하므로 이해가 어렵다면 저번 게시글을 참조하면 좋다. 2022.09.01 - [Web hacking] - [Dream Hack] session-basic 풀이 [Dream Hack] session-basic 풀이 쿠키와 세션을 학습한 이후 바로 문제가 주어진다. 우리는 세션 하이재킹을 이용할 것이라고 미리 짐작할 수 있다. 문제 분석 문제 설명에서는 admin 계정으로 로그인 시 플래그를 얻을 수 있다고 taesam.tistory.com 문제 분석 우리는 이전 문제와 같이 웹페이지와 파이썬 파일 하나를 받았다. 웹 페이지를 확인해보자. 역시나 로그인 기능이 포함된 간단한 웹 페이지임을 확인할 수 있다. app.py 파일을 확인해보자. (불필요한 ..
[Dream Hack] session-basic 풀이
Wargame 2022. 9. 1. [Dream Hack] session-basic 풀이 쿠키와 세션을 학습한 이후 바로 문제가 주어진다. 우리는 세션 하이재킹을 이용할 것이라고 미리 짐작할 수 있다. 문제 분석 문제 설명에서는 admin 계정으로 로그인 시 플래그를 얻을 수 있다고 한다. admin 계정에 로그인을 하기 위해서는 admin의 비밀번호를 알아내거나, admin의 쿠키 혹은 세션을 알아내야 할 것이다. 제공된 웹페이지를 열어보자. 간단한 홈페이지가 구성되어 있고 로그인 기능이 제공되나 우리는 알고 있는 정보가 아직은 없다. 제공된 문제 파일에는 app.py 파일 하나가 들어있다. 코드를 살펴보자. from flask import Flask, request, render_template, make_response, redirect, url_for app = Flask(__name..
[Dream Hack] devtools-sources 풀이
Wargame 2022. 9. 1. [Dream Hack] devtools-sources 풀이 웹해킹을 입문하여 처음 맛보는 워게임 문제에서 아무런 정보 없이 갑자기 찾으라는 문제에 다들 당황했을 것이다. 우선 차근차근 살펴보자. 문제 분석 문제에서 주어진 정보는 개발자 도구의 Sources 탭 기능을 이용하라는 것이다. 파일을 먼저 다운로드 받아보았다. 웹 페이지를 개발해 보았다면 알 수 있는 html, css, js 등으로 구성된 파일을 다운로드 받을 수 있다. 아무 html 파일을 열어서 개발자 도구의 Sources 탭으로 가보자. 우리는 아주 많은 파일들과 코드들을 마주하면서 막막함을 느낄 것이다. 그러나 우리는 아직 아무런 기술을 배우지 않았기 때문에 이 안에 플래그 값이 숨어있다는 것을 짐작할 수 있다. 문제 해결 무작정 찾아보기 웹 해킹에 막 입문한 나는 무작정 찾아보기로 했고 오랜 ..
Calendar
«   2025/01   »
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31
Archives
Visits
Today
Yesterday

티스토리툴바