컴맹에서 컴공 그리고 화이트 해커가 되는 그날까지

슬슬 해킹스러운 문제가 나오는 구만!이라는 생각이 드는 문제였다. 문제 사이트에는 이렇게 ip주소를 입력하는 입력창과 제출 버튼이 나와있다. 이번 문제도 burp suite를 사용하여 패킷을 받았다.  이렇게 되어 있었고 ip 입력창에 127.0.0.1을 입력하고 다시 패킷을 받아 보았다... 그랬더니..  이렇게 ip=127.0.0.1이 생기고 결과 값이 반환되었다.문제의 이름이 PHP-Command injection 인 만큼 이번 문제의 힌트와 해결할 수 있는 방법은command injection을 사용하는 것이다. 이 문제에서 명령어 주입(command injection)이 발생할 수 있는 이유는 다음과 같다.사용자 입력 검증 부족:이 코드에서 사용자는 ip 필드에 임의의 값을 입력할 수 있으며, ..

Admin is really dumb...관리자는 정말 멍청하네요...ㄷㄷ...   챌린지 화면이다. Wrong user-agent: you are not the "admin" browser!잘못된 사용자 에이전트: "관리자" 브라우저가 아닙니다!이라고 한다... 바로 burp suite로 패킷을 잡아보자  User-Agent가'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/128.0.0.0 Safari/537.36' 라고 한다. 이걸 'admin'으로 수정해서 send 해서 Response를 받아보았다.... 그랬더니 이렇게 'Welcome master'이라는 문장과 함께 Password값이 ..