| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
- root me
- overthewire
- WebHacking
- CTF
- write up
- 웹해킹 기초
- hackthissite
- 인공지능
- geminipro
- Wargame
- XSS GAME
- web-server
- webhacking.kr
- 프로그래밍
- 웹개발
- lord of sqlinjection
- Over The Wire
- 코딩
- SQL Injection
- 정보보안
- pythonprogramming
- burp suite
- 웹해킹
- 사이버보안
- web hacking
- Bandit
- sql injection bypass
- system hacking
- 개발자
- 테크트렌드
- Today
- Total
목록hackthissite (3)
컴맹에서 컴공 그리고 화이트 해커가 되는 그날까지
hackthissite/basic/8번 풀이
문재 내용을 요약하자면 Sam이 달력 프로그램을 망쳤으나 이번에는 Sam은 암호화되지 않은 암호 파일을 /var/www/hackthissite.org/html/missions/basic/8/에 저장했습니다. 그런데 Sam의 어린 딸 Stephanie는 방금 PHP 프로그래밍을 배웠습니다. 최근 파일 저장에 대해 배웠고 자신의 능력을 보여주기 위해 스크립트를 작성했습니다. 아마 딸이 만든 저 Enter your name:에 취약점을 찾아야 할 것 같습니다. Enter your name에 뚱이라고 입력하고 submit을 누르자 파일이 저장되었습니다. 파일을 보려면 여기 를 클릭 하십시오 . 라는 문구가 나오고 내 이름의 글자 수를 알려준다. 그녀가 PHP를 배웠고 SCRIPT를 작성 했다고 하니 php와 s..
hackthissite/basic/7번 문제 풀이
7번 문제 화면이다. 이번에는 Sam이 7번 패스워드를 바로 이 디렉토리에 저장되어 있는 이상한? 이름의 파일에 저장했다고 한다. 그리고 관련 없는 다른 뉴스에서 Sam은 UNIX cal 명령의 출력을 반환하는 스크립트를 설정했다고 했다고 한다. 일단 보고 싶은 연도를 입력하고 'view'를 누르라고 하니 따라 해봐야겠다. 2022를 입력하고 'view'를 눌렀더니 달력이 나왔다! 하지만 내가 찾고 싶은건 달력이 아니라 여기 디렉토리에 있는 이상한 이름의 파일을 알고 싶다. 그러므로 UNIX 기반의 COMMAND 이므로 command injection 공격을 실행하는게 좋겠다. ;을 사용하여 달력 출력을 종료하고 ls를 통하여 파일이 무엇이 있는지 확인해 봐야겠다. 그 결과 화면에 달력이 출력되고 밑에 ..
