# wargame

[Dreamhack] simple_sqli 풀이
이번에는 webhacking 중 sql이다. sql이 참 어렵다.. 🔎 simple_sqli 분석 문제 설명이다. 들어가보면 나오는 메인 화면이다. 말그대로 Login 화면만 존재한다.

[Dreamhack] csrf-2 풀이
csrf-1 문제와 유사하게 csrf 공격, 즉 사용자의 session 정보를 이용하여 악의적인 요청을 하도록 만드는 문제이다. 코드 분석은 까다롭지만 exploit은 쉽다. 🔎 csrf-2 분석 들어가면 처음 보이는 화면 vuln(csrf) page, flag page, login page 총 3개의 페이지로 이동을 할 수 있다. vuln(...

[Dreamhack] csrf-1 풀이
csrf 공격을 통해 관리자의 권한을 탈취하여 악용하는 문제! 강의가 있어서 보고 푸니 수월 했다. 🔎 csrf-1 분석 먼저 xss 문제와 거의 비슷한 화면 이번에는 notice flag 라는 페이지가 추가됐다. notice flag 페이지에 들어가니 주소가 admin/notice_flag로 바뀐 것을 볼 수 있다. 이 페이지가 admin만...

[Dreamhack] xss-2 풀이
이번에는 앞선 문제에서 이어지는 xss 문제를 풀어보겠다. 이번에도 비슷한 문제이다. 🔎 XXS-2 분석 이번에도 똑같은 구조로 되어있다. 그런데 이번에는 vuln 페이지에 들어가도 alert 창이 뜨지 않는다. script 태그가 막아져 있는 듯하다. 💻 소스코드 분석 
[Dreamhack] xss-1 풀이
web 문제이다. level 1인데 다른 사이트의 웹해킹 문제보다 어려운 듯하다. 아무래도 python 코드를 주기 때문인듯 🔎 XXS-1 분석 페이지를 접속해보면 이렇게 세 개의 다른 페이지로 이동할 수 있다. vuln(xss) page는 이렇게 취약점을 가진 페이지이다. 링크를 보면 vuln?param= 이렇게 스크립트 코드를 삽입하여 그대로 ...

[Webhacking.kr] old 2번 (SQL SELECT 문법)
웹해킹 문제 풀다보면 SQL Injection 문제가 많은데 SQL 문법 써서 하는 거니까 꼭 알아야함 그래서 이번에 old 2번 문제 풀면서 같이 공부했다 먼저 제일 자주 보이는 SELECT FROM WHERE 구문 각각 뒤에 무엇이 와야하는지 알아보자 > SQL SELECT 구문 형식 SELECT 뒤에 오는 것이 FROM, WHERE 말고도 I...

[Webhacking.kr] Challenge(old) 14번 풀이
예전에 올려두었던 블로그글을 옮김. > old 14번 들어가면 보이는 화면 아무 문구도 없고 그냥 입력 박스랑 버튼이 있다 숫자를 아무거나 입력해보면 wrong이 뜨는데 소스코드를 살펴보자 웹해킹은 자바스크립트 문법을 좀 공부하고 하면 좋다 예전에 동아리에서 웹해킹 문제 풀었을때는 자바스크립트, SQL을 아무것도 몰라서 힘들었는데... 지금은 조금...
Bandit Level 9 → Level 10
PuTTY | OverTheWire | strings, grep (Binary file matches)
Bandit Level 6 → Level 7
PuTTY | OverTheWire | find Expression, /dev/null, ROOT Directory