일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- nodeJS
- bootstrap
- CTF
- mongoose
- 자바기초
- 뷰
- 웹해킹
- 포렌식워게임
- 포렌식
- Express
- 그래프
- 웹기초
- 웹개발
- 자료구조
- wargame.kr
- 웹해킹기초
- 워게임
- node.js
- node
- 써니나타스
- 이진탐색트리
- GIT
- materialize
- 이진트리
- NavBar
- 자바
- 워게임추천
- gitbash
- MongoDB
- 자바문제풀이
- Today
- Total
목록워게임 (10)
보안 전공생의 공부
![](http://i1.daumcdn.net/thumb/C150x150/?fname=https://blog.kakaocdn.net/dn/lS3tH/btqTyBf4lYx/9buPYYIyAwV6rAlDgzM5w1/img.png)
◆ Blind SQL Injection 서버에서 내부 오류 메시지를 외부에 공개되지 않도록 구성한 경우 Type 변환 오류 메시지를 사용한 Database구조 파악이 불가능 → substring(문자열, 시작위치, 길이) 문자열의 특정 문자열을 한 글자씩 찾아가는 Blind SQL Injection 공격 시도 Query 결과에 따른 서버의 참/거짓 반응을 통해 공격을 수행한다. (Target 사이트에서 참/거짓을 구분지을 수 있는 페이지가 존재해야함) 이를 통해 db명, 테이블명, 컬럼명 ID, PW 등을 알아낼 수 있다. (출처 : https://peemangit.tistory.com/151 ) id는 admin 이고 pw 파라미터 값을 입력받아야 한다. 그러나 db에 있는 pw에 대한 ..
![](http://i1.daumcdn.net/thumb/C150x150/?fname=https://blog.kakaocdn.net/dn/bRxRD1/btqTF3CfZ3f/OXqWb21tr9eTPBJkS5wOhk/img.png)
start를 눌러주니 웬 게임창이 뜬다. 비행기가 형관선에 안 닿게 유의하면서 조종하여 점수가 31337점이 나와야 게임이 성공한다. javascript 구문을 우회하여 게임에 성공해야 되는 것 같다. 소스코드의 스크립트 구문은 도통 뭘 말하는 건지 알 수 없게 난독화되어 있다. ▶ 자바스크립트 난독화 자바스크립트는 클라이언트(Client)에서 실행되도록 하는 언어여서 사용자가 웹사이트에 접근하게 되면 해당 스크립트를 그대로 볼 수 있게 된다. 이를 방지하고자 적용하는 기법이다. (출처 : https://kkamikoon.tistory.com/165 ) 이 난독화 된 스크립트 구문을 해독해야 문제의 단서가 보일 것이다. 문제에서 난독화 수준은 문자열로 치환한 정도로, 이를 해독하는 사이트가 있다...