본문 바로가기

Webhacking/Webhacking.kr14

Webhacking.kr - Challenge old-15 https://webhacking.kr/challenge/js-2/ 15번 문제 문제 풀이 문제에 접속하자마자 접근 거부 팝업 창이 뜬다. 확인 버튼을 누르면 webhacking.kr의 Index화면으로 이동한다. 자바스크립트에 의해 페이지 이동이 되므로 자바스크립트 차단을 해주면 될 것 같다. 자물쇠 아이콘 눌러서 사이트 설정으로 이동해서 자바스크립트를 차단해준다. 페이지 소스를 보면 URL에 ?getFlag를 추가해주면 Flag를 얻을 수 있다. 2021. 10. 31.
Webhacking.kr - Challenge old-14 https://webhacking.kr/challenge/js-1/ 14번 문제 문제 풀이 Javascript document.URL - 문서의 주소를 문자열로 반환 indexOf - 특정 문자의 위치 찾기 코드 해석 ul 변수에 현재 URL의 주소를 문자열로 반환 ULR주소에서 .kr이 시작하는 위치를 찾는다. 이 위치를 숫자로 나타내 30을 곱하여 ul에 저장한다. ul이 입력값과 같으면 통과 아니면 "Wrong" 출력 https://webhacking.kr/challenge/js-1/ 이 URL 주소에서 .kr이 시작하는 위치는 0부터 시작해서 18번째이므로 18*30은 540 2021. 10. 31.
Webhacking.kr - Challenge old-20 https://webhacking.kr/challenge/code-4/ 20번 문제 문제 풀이 문제 화면만 보아서 알아낼 수 있는 게 없으므로 스크립트 코드를 확인한다. 여기에서 captcha_는 화면의 captcha 입력 부분 옆에 있는 문자가 있는 버튼임을 확인할 수 있다. 또한 time limit이 2초 임도 확인 가능하다. 함수의 코드를 보면 id, cmt, captcha에 공백을 두면 return되어서 값을 반드시 입력해야 한다. 또한 captcha 값이 captcha_값과 다르면 return 된다. 따라서 id와 cmt의 값을 입력해주고 captcha값을 화면의 captcha_값과 같게 입력해주면 된다. 맞게 입력했는데도 Wrong Captch나 Too Slow... 의 페이지가 나온다. 문제.. 2021. 10. 2.
Webhacking.kr - Challenge old-26 webhacking.kr/challenge/web-11 26번 문제 문제풀이 $_GET ['id']가 /admin/ 문자열일 경우, no! 를 출력하고 종료 $_GET ['id']를 url decode 한 값이 $_GET ['id']이 되면서 이 값이 admin일 경우에 solve() 함수를 호출한다. 따라서 admin을 urlencoding 한 값을 id에 넣어주면 된다. url encode는 아래의 표를 이용한다. a = %61 d = %64 m = %6d i = %69 n = %6e 왜 인코딩을 했는데 no!라는 출력이 나올까? 왜냐하면 주소창에서 한 번 더 디코딩이 되기 때문! 따라서 코드에서 디코딩이 일어난다. 따라서 URL인코딩을 한 번 더 해주어 admin을 두 번 인코딩한 값인 %2561%.. 2021. 10. 2.
Webhacking.kr - Challenge old-25 webhacking.kr/challenge/web-25 25번 문제 문제 풀이 문제 화면을 보니 php 파일들은 GET방식으로 파일을 가져오며, 자동으로 php명을 붙여 실행한다. flag.php의 내용을 확인하기 위해 url에 파일명 flag를 입력한다. 이 문제는 PHP Wrapper 방식의 'php://filter'기능을 사용해서 php 파일을 읽어야 한다. php://filter/convert.base64-encode/resource='파일명' 명령어를 통해서 base64로 인코딩 된 코드를 볼 수 있다. Base64 Decode and Encode - Online Base64 Decode and Encode - Online Decode from Base64 format or encode into.. 2021. 9. 26.
Webhacking.kr - Challenge old-17 webhacking.kr/challenge/web-17 17번 문제 문제 풀이 소스코드를 보면 unlock을 계산해야 하므로 console에서 계산해준다. 2021. 9. 26.

티스토리툴바