보안/webhacking 검색 결과
52 개의 검색 결과가 있습니다.
보안/webhacking

webhacking.kr old-04

해쉬코드로 예상되는 글자와 함께 패스워드를 제출하는 창이있다. 그냥 sql injection 넣어보고 시작하자! 역시나 안된다... 밑에 소스코드를 볼수있는곳으로 이동해본다. Password [view-source] 코드를 보면 10000000~99999999사이의 숫자하나와 salt_for_you를 합쳐서 sha1해쉬함수로 500번 해쉬하여 보여주고 있는것을 볼수있다.1억-1천 9천만....500번의 해슁.... 코드를 짜서 해결해야 될거같다.... 간단하게 파이썬을 이용해 본다.anaconda jupyternotebook을 이용했다. from hashlib import sha1 for i in range(10000000,99999999): password=str(i)+"salt_for_you" for..

2019. 11. 22. 20:55
보안/webhacking

webhaking.kr old-03

네모네모 로직으로 시작한다. 간단하게 풀어준다. 아무거나 적으면 name이 등록되는 페이지를 볼수있다. 역시나 sql injection을 시도해 본다. 실패... 소스를 보면 post방식으로 보내기 때문에 burp suit를 이용하여 전달값을 확인해 보자. answer=1010100000011100101011111&id=admin 같이 넘겨주는것을 확인 그렇다면 id 쪽에는 sql injection이 먹히지 않았지만 answer값에는? answer값을 넘겨주는 부분에 sql injection을 시도해 본다. answer='or 1=1#로 바꿔서 넘겨주면 클리어!(요즘 --는 대부분 막힌거같다.) 단순한 injection만으로 풀렸지만 다양한 기법이 있는만큼 더공부해야겠다.

2019. 11. 22. 20:10
보안/webhacking

webhacking.kr old-02

보여지는 페이지에서는 특별할게 없으니 소스를 한번보자 주석을 통해 힌트를 주고있다. 즉시 https://webhacking.kr/challenge/web-02/admin.php로 이동해본다. 패스워드를 입력하는 창이 하나 있다.(쉽지않다...) 아무값이나 입력해보면 wrong password라는 경고창과 함께 돌아가게 된다. 다른 힌트가 없는걸로 봐서 SQL injection을 통해 접근해야 될거같다. SQL injection 기본적인 정보https://m.mkexdev.net/427 ' OR 1=1 -- 기본적인 인젝션 시도 실패 2번문제임에도 기본적인 공격은 통하지 않는다...'' or 'a'='a'-- '' or 1=1--등 여러가지 시도해 봤지만 기본적인 sql injection은 통하지 않는다...

2019. 11. 22. 19:33
보안/webhacking

webhaking.kr old-01

쿠키조작 문제이다 먼저 view-source를 소스를 보면 ---------------------

2019. 11. 22. 18:46