일단 페이지를 들어오면 이런창이 뜨게 된다.Fire 버튼을 눌러보자... 관리자인 경우만 확인버튼을 클릭하고 진행하라고 뜬다.당연히 확인버튼을 눌러보면..  인증을 하라고 뜨게 됩니다.버프스윗으로 proxy 메뉴에서 히스토리를 봐보자. 확인버튼을 누른 내역인데 step1 에서 step2 로 이동하였다.이렇게 파일이름이 노골적이면 쉽게 다음페이지의 이름이 뭔지 유추가 가능해진다.그러면 혹시 모르니 step3.php 를 url에 넣어보자.  이렇게 손쉽게 flag 를 탈취할수 있게되었다. 이번 문제에서 배울점은 "유추가 쉽지않게 페이지 주소나 변수설정을 하자" 였던것 같다.

웹 개발을 하다보면 우리는 DB(데이터베이스)라는 것이 필요해 진다. Table 이라는 상자 안에 행(row) 과 열(Column) 으로 이루어진 데이터가 있다고 생각하면 쉽다.> 그래야 파라미터 값들이나 ID 같은 식별정보를 웹 페이지와 상호작용 시킬 수 있기 때문이다.그래서 이건 개발을 하려면 필수다. SQL 의 역사나 정의는 다루지 않을것이다..우리는 진짜 필요한 알짜배기 지식들만 알고있으면 된다.SQL 에선 특정 구문을 사용하여 데이터를 읽어오고,삭제하고,수정하고,작성한다.   가장 기본적으로 sql 문법은 4가지 라고 생각한다 -SELECT-INSERT-DELETE-UPDATE (예시로 이해하는 것이 빠를것 이다.)DB에서 데이터를 읽어오는 역할을 한다.사용방법은 다음과 같다: SELCET [컬..

잡담 : 이번주에 segfault 사이트에 워게임이 다수 올라왔다.여러 공격을 시도하던중 Burp Suite 의 Intruder 기능이 유료버전이 아니면 여러차례 공격할수록 점점 속도가 느려진다는것을 알게되었다. (역시 돈이 좋다 ....나도 나중에 Pro 버전을....)이것을 위하여 파이썬으로 Intruder 의 기능을 구현해보도록 하자.    -사이트 탐색-파이썬을 이용한 브루트 포스 공격 구현  우선 사이트를 한번 탐색해보자.  들어오니 Login 이라는 버튼이 있다 일단 눌러보았다. 숫자 4자리의 핀코드를 찾는 문제인것 같다.일단 브루트포스 공격을 하기 너무 적합한 문제같다.하지만 일단 대입해보기전에!Burp Suite 로 사이트를 탐색해보자!   일단 그냥 "1234" 를 넣어서 들어가봣더니 당..

*글 쓰기에 앞서 수업과정에 이런 문제풀이 요소들을 추가하여 해킹에 흥미가 떨어지지 않게 잘 준비해주시는 노말틱님에게 감사드립니다. 이번 글의 목적은 노말틱 취업반 과정에서 Burp suite 사용의 적응을 위해 만든 워게임 문제풀이 입니다.총 4개의 문제를 풀어볼것이며 각 문제마다 챙겨가야 할 요소들을 알아보겠습니다. Burp Suite 에서 헤더란?Comparer 기능 활용Intruder 기능 활용Decoder 기능 활용  워게임 사이트는 이런식으로 이루어져 있으며 앞서 말했듯이 총 4개의 문제가 있습니다.이중 Burp Suite Prac1 을 클릭해 보겠습니다. 다른 워게임 사이트들도 이와 유사한 방식입니다.이런식으로 Flag 라는 숨겨진 코드를 찾아서 submit 을 해야 다음스테이지로 넘어갈 수..

:  DB를 연동한 회원가입 및 로그인 페이지를 만들어라!           페이지 소개코드 분석1.    드디어 전과 다르게 Sign up 이라는 항목이 생겻다!이것을 누르게 되면! 이러한 회원가입 페이지로 들어오게 된다!여기서 예외처리한 경우가 두경우가 있다. 1. 아이디가 중복이 되면 중복이라고 알려주기2. 적지 않은 정보가 있으면 적으라고 알려주기   ID 가 중복일때미입력 정보가 있을때   이렇게 DB와 연동하여 회원가입을 만들어 봤습니다.이제 코드를 설명 해드리겠습니다.   2.    Back Sign up ..

이번 미션의 목적은 "GET 방식으로 학생이름을 넣으면 학생의 점수가 뜨는 페이지를 만들어라" 입니다.페이지 설명코드 설명 1.   로그인 후 페이지를 들어가 보면 이렇게 Enter 버튼과 text-box 를 확인하실 수 있습니다.저 박스 안에다가 "doldol" 이라는 이름을 친 후 엔터를 눌러주게 되면...  "doldol" 이라는 학생의 점수가 출력이 되게 됩니다.     GamJa National University 글 목록 Back  방금 저희가 적었던 박스가 있는 페이지 입니다.간단하게 GET 방식으로 process.php 라는 파일에 "..

- 로그인 페이지 만들기(DB연동 x)- CSS 를 활용한 로그인 페이지 꾸미기 목표: ID: admin / Password:  admin1234 로 로그인이 되는 페이지를 만들어보자!  GamJa National University Login 부분에는 css 파일 연동 + 구글폰트 연동을 해주었다. 부분에는 div 태그를 이용하여 로그인 페이지를 나누어주었다. *특이사항 : ID 와 Password 칸에 쓸수있는 글자수를 30자로 제한하였습니다.(Response Time 을 이용한 취약점이 될수도 있다고 생각하여서 제한했습니다)Response Time 에 관하여 링크걸어둔 글 , 부분에 서술하였습니다.관련 URL : https:/..