profile
문워킹은 하지말자

TIL 2022-07-29

자전거의 구조 관찰(소프트웨어의 큰 구조 파악)↓ 솔직히 분석하기엔 정보 부족하긴함자전거 타는 사람 관찰(프로그램을 실행해보며 관찰)\-> 자세한 분석이 필요하면 특정부분을 더 세밀하게 관찰 -> 동적 분석(다이나믹),정적 분석(스테틱)정적 분석 : 외적인 관찰을 통해

2022년 7월 29일
·
0개의 댓글
·

TIL 222-07-23 (1)

이 단계부터는 사람이 해석하기 거의 불가능함!!ex) printf는 main.c가 아닌 libc라는 c 표준 라이브러리에 존재하는 함수임 -> libc에 존재하는 함수들 중 표준 입출력을 담당하는 함수들을 stdio.h로 묶어놓은 거링커는 main.c에서 사용하고 있는

2022년 7월 29일
·
0개의 댓글
·
post-thumbnail

#1 원 소주 사러 3만리

원 소주를 사기 위한 지나가는 대학생의 발악입니다...

2022년 4월 16일
·
0개의 댓글
·
post-thumbnail

SQL Injection (Information_schema 사용)

0. Information_schema란? MySQL에서는 기본적으로 만들어져 있는 DB가 있습니다. 그 중 라는 논리적 데이터베이스에는 모든 DB에 대한 모든 정보가 담겨있습니다. 실제 제가 이번 학기 데이터베이스 수업에서 사용했던 DB의 입니다. 많은 테이블이 있

2022년 1월 8일
·
0개의 댓글
·
post-thumbnail

CSRF (Cross Site Request Forgery)

이번에 정리할 주제는 CSRF 공격이다. (이번 주 자격증 준비부터 시작해서 너무 바빴어요....)해군 정보보호병 지원을 위해 쭉 달려왔던 일주일이었다. 자격증 공부에 면접 예상 질문까지 찾아보았는데 기술 면접 중에 XSS(Cross Site Scrip

2021년 11월 27일
·
0개의 댓글
·
post-thumbnail

Symmetric Encryption (1) - DES

대칭키 암호화 기법은 암호화/복호화에 같은 키를 사용하는 기법이다.Symmetric encryption, conventional encryption, single-key encryption, secret-key encryption 모두 대칭 암호키를 나타내는 말이다.

2021년 10월 22일
·
0개의 댓글
·
post-thumbnail

CORS (Cross-Origin Resource Sharing)

Cross-Origin Resource Sharing CORS는 W3C에서 서로 다른 Origin에서 자원(Resource)을 공유할 수 있도록 하기 위해 내놓은 정책을 말한다. 여기서 서로 다른 Origin이라는 것은 도메인 또는 포트가 다르다는 것을 의미하기 때문에

2021년 10월 15일
·
0개의 댓글
·

CCE2021 간단 라이트업

웹 100점은 다 풀었다....ㅎ문제의 정확한 스샷은 못 찍었다...문제 들어가보면 검색 기능이 있는 게시판이 존재하고 비밀글에 플래그가 적혀있던것으로 추정됬다.그런데 검색 기능을 이용하면 접근할 수 없는 비밀글의 내용이 검색이 되었다. 따라서 파이썬으로 스크립트를 짜

2021년 9월 29일
·
0개의 댓글
·
post-thumbnail

Server-Side Templete Injection (SSTI) 공격

2021년 9월 25일 CCE2021 예선전을 진행했다.영화 촬영 스케줄이랑 겹쳐서 온전히 집중은 못해서 아쉬웠다...그래도 웹 100점짜리는 다 풀었으니까 그걸로 일단 만족하기로했다.이번에 진행했던 CTF에서 SSTI 취약점를 이용하는 것으로 추정한 문제가 나와서 한

2021년 9월 28일
·
0개의 댓글
·
post-thumbnail

SQL injection을 통해 공격할 DBMS 특정하기(DBMS Fingerprint)

데이터 베이스를 다룰때 우리는 대부분 DBMS를 이용하고 대부분의 DBMS는 SQL이라는 언어를 이용하여 데이터베이스를 관리하게된다.이러한 SQL에는 표준적인 사용법이 존재한다. 하지만 이 세상에는 수도 없이 많은 특색을 가진 데이터베이스들이 존재하고 이렇게 다양한 상

2021년 9월 8일
·
0개의 댓글
·
post-thumbnail

phpMyAdmin 4.8.1 LFI 취약점(CVE-2018-12613) 분석

CTF 라업 쓸때 phpMyAdmin 4.8.1버전의 LFI 취약점을 이용하여 플래그를 획득했었다. 오늘은 이런 공격을 가능하게 해준 이유를 분석해 볼 것이다. LFI(Local File Inclusion) 취약점은 공격자가 웹 응용 프로그램을 속여 로컬에 존재하는

2021년 8월 24일
·
0개의 댓글
·
post-thumbnail

2021 F/W(?) 23회 해킹캠프 CTF Write-Up

오예 1위 뿌뿜

2021년 8월 17일
·
0개의 댓글
·

[LOS] 21. Iron_Golem

Error-based SQL Injection 찾아보기서브 쿼리는 한 개의 상의 레코드를 반환해서는 안 된다.union에 관해 찾아보기if절 사용법 찾아보기문제의 소스 코드를 보면 블라인드 인젝션 공격을 수행해야 한다는 것을 알 수 있다. 하지만 기존에 참/거짓을 판별

2021년 7월 17일
·
0개의 댓글
·

[LOS] 20. dragon

프로그래밍을 할떄 주석이 영향을 미치는 범위를 생각해보자개행 문자 이용쿼리문 중간에 주석 문자인 첫 번째 힌트에서 말 한 것처럼 프로그래밍을 할 때 주석이 영향을 미치는 범위를 생각해보면 주석 문자로부터 그 줄 끝까지였다.한마디로 다음 줄은 영향을 미치지 않는 것이다.

2021년 7월 17일
·
0개의 댓글
·

[LOS] 19. Xavis

비밀번호가 한국어임....한국어는 유니코드로이진 탐색 사용을 권장이전에 풀었던 문제처럼 접급하였다가 이유 모를 오류로 한참 고생했던 문제이다length(pw)로 패스워드의 길이를 표시하려고 하니까 아무런 진전이 없어서 찾아보니까 비밀번호가 한글이라는 것을 알게 되었다.

2021년 7월 17일
·
0개의 댓글
·

[LOS] 18. Nightmare

힌트 false = 0이다 모르겠으면 1번 그렘린보고 오는 걸 추천 새로운 방식의 주석을 사용함

2021년 7월 16일
·
0개의 댓글
·

[LOS] 17. Zombie_Assassin

힌트 strrev()는 문자열 뒤집는 함수 모르겠으면 일단 아무거나 입력해보기 누군지는 모르지만 서순 틀림소스

2021년 7월 16일
·
0개의 댓글
·

[LOS] 16. Succubus

힌트 SQL 인젝션을 시도하기 위해서는 '를 무력화 시켜야한다. 문자로 '를 사용하려면 무슨 짓을 해야할까?

2021년 7월 16일
·
0개의 댓글
·
post-thumbnail

[LOS] 15. Assassin

힌트 like는 =의 기능 말고도 다른 기능이 있다 like랑 같이 쓰는 %에 주목

2021년 7월 16일
·
0개의 댓글
·
post-thumbnail

[LOS] 14. Giant

힌트 쉬어가는 문제…. 어렵게 생각 ㄴ shit 파라미터의 위치

2021년 7월 16일
·
0개의 댓글
·