무기는 끈기

오늘 풀 워게임은 이것이다. https://dreamhack.io/wargame/challenges/872 64se64 Description "Welcome! 👋"을 출력하는 html 페이지입니다. 소스 코드를 확인하여 문제를 풀고 플래그를 획득하세요. 플래그 형식은 DH{...} 입니다. dreamhack.io [서버 생성하기] 버튼을 클릭해서 문제 페이지로 접속한다. 페이지의 소스 코드를 살펴보자(우클릭 > 페이지 소스 보기) 음.. 굉장히 의심스러운 코드가 보인다.

챙겨 보고 있는 티오리의 '노베이스 해킹 입문' 시리즈가 올라왔다! 퇴근길에 보면서 집가서 빨리 실습해야지.. 했다. 이번 주제는 '리버싱'이다. 사실 해킹 분야에서 가장 관심 있는 분야라 영상 알림 받고 소리지를 뻔했다. IDA 해킹 툴을 이용한 실습이라서 더 즐거웠다. https://youtu.be/cOxQK4Gxmq4?si=FaLTFzDk9XC28ORy 동욱님이 생각보다 너무 잘하셔서 노베이스 맞아?! 하고 의심스러웠다 ㅋㅋㅋㅋ 다훈 쓴배림 정말 설명도 잘해주시고 늘 다정한 선생님이 되어주셔서 감동입니다.. 자주 올려주세요ㅠ 아무튼 IDA Pro는 천만원이 넘는 초고가의 기업용 툴이기에 가난한 나는 IDA Free 를 사용한다. 툴 다운로드 받는 곳은 하단의 링크 참고 https://hex-rays..

SQL Injection은 웹 애플리케이션 보안에서 중요한 주제 중 하나입니다. 이 기사에서는 SQL Injection 공격에 대한 기본 개념, 어떻게 발생하며 어떻게 방어하는지에 대해 설명합니다. SQL Injection이란? SQL Injection은 공격자가 악의적인 SQL 쿼리를 웹 애플리케이션으로 주입하여 데이터베이스에 액세스하거나 조작하는 공격 기술입니다. 이러한 공격은 웹 애플리케이션이 사용자 입력을 안전하게 처리하지 않을 때 발생합니다. 작동 원리: SQL Injection은 사용자 입력을 적절하게 검증 또는 이스케이핑하지 않을 때 발생합니다. 공격자는 일반적으로 웹 양식 또는 URL 매개변수를 통해 악의적인 SQL 쿼리를 삽입합니다. 이 쿼리는 데이터베이스에 실행되어 사용자 데이터 유출,..

https://dreamhack.io/wargame/challenges/6 cookie 쿠키로 인증 상태를 관리하는 간단한 로그인 서비스입니다. admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다. 플래그 형식은 DH{...} 입니다. Reference Introduction of Webhacking dreamhack.io 오늘은 드림핵 워게임의 비기너 문제를 하나 풀었다. 문제 접속하는 페이지는 아래 첨부된 이미지처럼 생겼다. 우측에 [문제 파일 받기] 버튼을 클릭하면 python 파일을 내려받을 수 있다. VSCode로 실행하여 코드를 살펴보았다. 문제 페이지 > 접속 정보 > [서버 생성하기] 를 클릭하여 문제를 열었다. 우상단의 Login 을 클릭하여 코드에서 살펴본대로 ID : g..

워게임을 풀고 싶은데 뭐부터 풀어야 할지 모르겠어서 헤매다가 Solved 를 눌러 사람들이 많이 풀어낸 순서로 내림차순으로 정렬했다. old-01 다음으로 많은 사람들이 푼 문제는 old-15였고, 바로 클릭했다. 문제를 클릭하여 들어가면, Access_Denied 라는 팝업이 뜨고 확인을 누르면 바깥 화면으로 튕겨져 나간다. 이 경우엔 팝업이 뜨지 않게 하고, 접속을 하기 위해선 자바 스크립트를 꺼줘야 한다. 나는 크롬을 쓰고 있기 때문에 우측 상단에 햄버거 메뉴를 클릭한다. '설정 > 개인 정보 보호 및 보안 > 사이트 설정 > 자바 스크립트 설정'에 접속한다. 기본 동작에서 '사이트에서 자바스크립트를 사용하도록 허용하지 않음'을 선택하고 다시 old-15 문제로 접속한다. 빈 화면이 뜨고, 페이지 ..

말로만 듣던 워게임을 드디어 직접 해보기로 했다. 예전엔 가입하는 것부터가 문제를 풀어야만 가입할 수 있는 형태였다고 들었는데,, 이 사이트가 아닌가? 맞는데 아마 방식이 변경된 것 같다. 웹해킹.kr 이 사이트도 그동안 운영자가 바뀌고 오래된 문제나, 잘못된 문제들이 수정되면서 이런저런 변화가 있었다고 들었다. 처음 접속해서 개인적으로 좀 좋아하는 해커분이 랭킹 10위에 올라있는 것을 보고는 의지를 불태웠다. 비록.. 오늘이 처음이었지만요.. 아무튼 old-01 첫 문제를 풀었다. 풀이 방식도 잘 모르는 상태라 가장 상단에 있는 15번을 클릭했더니 계속 경고 팝업으로 [ access denied ] 가 떠서 음 내가 무슨 접근 권한이 없나? 좀 기다려서 권한을 받고 게임을 시작할 수 있나? 생각했다.ㅋ..

이번 시간에는 '웹 기초'를 공부했다. 웹 기초 수업에는 이렇게 5가지가 포함되어 있었다. - Web 서버 구조 - HTTP 프로토콜 - Burp Suite (Web Proxy) - 개발 환경 세팅 - 기초 HTML / PHP 개념 저번 글에선 3 tier 그림을 사용하여 Web 서버 구조에 대해서 알아보았다. 오늘은 HTTP 프로토콜 에 대해서 알아보려고 한다. (계속 추가 예정)

이번 시간에는 '웹 기초'를 공부했다. 웹 기초 수업에는 이렇게 5가지가 포함되어 있었다. - Web 서버 구조 - HTTP 프로토콜 - Burp Suite (Web Proxy) - 개발 환경 세팅 - 기초 HTML / PHP 개념 저번 글에선 3 tier 그림을 사용하여 Web 서버 구조에 이어, HTTP 프로토콜 대해서 알아보았다. 오늘은 모의해킹에 빠져선 안되는 웹 프록시(Web Proxy) 툴, 'Burp Suite' 에 대해 알아볼 것이다. Burp Suite 모의해킹에서는 의외로 툴을 아예 사용하지 않는다고 한다. 이 사실을 알았을 때 굉장히 놀랐다. 그렇지만 딱 하나 유일하게 늘 사용하는 툴이 있다고 하는데, 바로 그것이 버프 스위트! 웹 프록시 툴이다. 그렇다면 웹 프록시가 대체 무엇일까?..