Wargame

    [미완] PROB36. [100] File Deleted
    Wargame/XCZ.kr

    [미완] PROB36. [100] File Deleted

    Prob File 위 설명글이랑 file_deleted.7z 파일을 받았고 또 푸니까 unl이 뜨네요 파일 이미징을 위해, FTK로 파일을 열어볼게요!

    Challenge old 17 (100)
    Wargame/webhacking.kr

    Challenge old 17 (100)

    17번 100점짜리 JS문제입니다~ 이게 먼가.. 싶었는데 혹시..? 해봤는데 풀렸어요..; unlock=100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10*100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10*100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10*100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10/100*10*10+1/10-10+10+50-9*8+7-6+5-4*3-2*1*10*100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10+100*10*10+100/10-10+10+50-9*8+7-6+5-4*3-2*1*10-100*10*10+10..

    Challenge old 1 (200)
    Wargame/webhacking.kr

    Challenge old 1 (200)

    코드를 봅시다! ---------------------

    Challenge old 23 (300)
    Wargame/webhacking.kr

    Challenge old 23 (300)

    글자 하나 씩만 넣으면 잘 뜨는데 sc, pt, al과 같이 열을 넣으니 no hack이 뜨네여ㅜ 결국 script 태그를 사용해서 얼럿을 띄우는게 목표인데, 두 자 이상만 들어가면 no hack이 뜨니까 %00 (NULL)을 이용해서 띄어주는 듯 안 띄어주면 풀린당 %00a%00l%00e%00r%00t%00(%001%00)%00;%00 을 넣었슴니다

    Level 1: Hello, world of XSS
    Wargame/XSS game

    Level 1: Hello, world of XSS

    Challenge old 49 (300)
    Wargame/webhacking.kr

    Challenge old 49 (300)

    49번 SQL INJECTION 300점짜리 문제입니다 초기값으로 level: 1이라고 나와있어서 1부터 5까지 차례대로 제출을 눌러본 결과, 대충 level(1~4)값에 따라 저장된 값이 있는 것 같아요 php 소스를 보면

    Challenge old 27 (150)
    Wargame/webhacking.kr

    Challenge old 27 (150)

    view-source를 보면

    Challenge old 18 (100)
    Wargame/webhacking.kr

    Challenge old 18 (100)

    old-18, SQL Injectinon 100점짜리 문제입니당

    Challenge old 54 (100)
    Wargame/webhacking.kr

    Challenge old 54 (100)

    '?' 부분이 빠른 속도로 바뀌며 flag가 보이는데여 소스를 보면 Password is 요러합니다 function answer(i)부분을 바꿔주면 될 듯 한데, 그 밑 setTimeout()부분의 시간을 더 늘려주는 방법이 있고 answer이 나오는 부분을 바뀌지 않고 뒤로 쭉 나열되는 식으로도 바꿀 수 있습니당 먼저 setTimeout()은,, 1000이 1초니, 지금은 0.2초마다 바뀌게 설정되어 있네요 아무튼 소스를 대충 이렇게 4초 정도로 이렇게 바꿔보면! 캡처는 안 떴지만 천천히 바뀌어서 충분히 볼 수 있어여 그런데 이것도 귀찮으니... 이렇게도 바꿔봅시당 그러면 뒤로 나열되는 것을 볼 수 있어여 그래서 라고 합니당.. 끝~!

    Challenge old 39 (100)
    Wargame/webhacking.kr

    Challenge old 39 (100)

    view-source를 클릭해봅시당

    Challenge old 14 (100)
    Wargame/webhacking.kr

    Challenge old 14 (100)

    역시 아무 것도 없다~ 소스를 보면 비밀번호를 입력하면 ck()함수로 맞는지 아닌지 판단해주는 것 같다. 틀리면 Wrong이라는 팝업이 뜬당 ck()함수를 자세히 보면 function ck(){ var ul=document.URL; //document.URL: 문서의 주소를 문자열로 반환, 즉 현재 URL. 이를 ul 변수에 저장한다. ul=ul.indexOf(".kr"); //indexOf(): 문자열이 일치하는 위치를 반환한다. 없으면 -1을 반환한다. 0부터 시작~ //즉, ul에서 ".kr"의 위치를 찾고 이 위치를 ul에 저장한다. ul=ul*30; //ul에 30을 곱한당 if(ul==pw.input_pwd.value) { location.href="?"+ul*pw.input_pwd.value..

    [미완] Challenge old 38 (100)
    Wargame/webhacking.kr

    [미완] Challenge old 38 (100)

    아무 것도 없다.. 소스를 보니 저어기 주석 처리 되어있는 부분을 수정하고 싶은 욕구가 생긴다. //method: form을 서버로 전송하는 http 방식을 지정한다. GET or POST //action: form 내부의 데이터를 보낼 URL을 지정한다. //input type=text: 텍스트가 눈에 보이는 입력 타입. //input type=submit: form 태그 안에서 사용되며 클릭하면 입력값을 서버로 전송한다. 주석 부분을 푸니, admin page라는 페이지로 들어갈 수 있게 되었당 라고 해서 admin으로 로그인을 시도해봤는데 라고 너무 단호하게.. 아니라고 합니다 그나저나 log viewer 에서는 입력창에 친 값들을 볼 수 있는데.. 음담패설이 그득했다. 내가 form 창에 뭘 치면..

티스토리툴바