Web Hacking(27)
-
[기초] 왜 브라우저에서는 php코드가 보이지 않는 것일까?
흔히 웹 해킹 문제들을 풀 때 F12를 눌러 개발자 도구를 켜서주석이나 식의 태그 등을 확인하곤 한다! 하지만 php 코드는 일반적인 경우100이면 99.99%의 확률로브라우저에는 php 소스코드가 보이지 않는다! 왜냐? 결론부터 말하자면!!브라우저는 클라이언트(사용자)쪽의 언어를 해석하기 때문이다!php는 서버쪽 언어이기 때문에 브라우저는 php가 이미 실행된 후 나온 결과 값만받아서 표시한다!!! 헷갈릴 수 있으니 좀 더 자세하게 설명하겠다 1. 우리가 브라우저에서 요청을 하는 경우(발신)------------------------------------------------------------브라우저 ==> 웹 서버 ===> php해석기| (요청 ) | ( 요청 ) | (나) 서버쪽 php 읽는 놈..
2019.02.18 -
[어설픈] webhacking.kr 39번 문제풀이
안녕하세요!오늘도 비교적 간단한 100점짜리 문제인39번 문제풀이를 진행하도록 하겠습니다! 우선 문제에 들어가니 아래와 같이 뜨네요! 제출하라고?그냥 아무거나 넣어 봐야하나? 그래서 혹시 몰라서 그냥 ' 를 넣어봤습니다그랬더니 아래와 같이 뜨네요 그래서 아무 숫자나 넣어봐도 아래와 같이 떠서 뭔가 소스코드를 보고쿼리 오류가안나게끔 해야겠구나!라고 생각했습니다! 그래서 일단 F12를 눌러서보니 index.phps가 있네요 분명히 저기가면 이제 저희가 원하는 소스코드가 기다리고 있겠죠? ㅎㅎ 역시나소스코드가 있네요. 뭐 이제는 거의 아무것도 없으면기계적으로 F12누르다 보니익숙해졌네요 코드를 한 줄씩 분석해 볼까요?일단 pw변수에 ????라는 값이들어가 있네요! 일단 어디에 쓰일지는 모르니까 저 값이 들어갔..
2019.01.12 -
[어설픈] webhacking.kr 27번 문제풀이
안녕하세요! 오늘도 비교적 쉬운 150점짜리 문제! 27번을 풀어보겠습니다! 문제를 들어가니 이렇게 뜨네요!대놓고 나는 sql injection이다 문제의 방향을 바로 제시해 줬죠?구문 저희가 inject해서 원하는 값을 도출하면 되겠죠? 일단 먼저 sql injection 하려면뭐가 필터링 되어 있고, 어떻게 해야 풀리는지코드를 봐야해서 F12를 눌러서 소스코드를 보려 했더니index.phps라고 있네요! 오호 그럼 저기로 이동해 볼까요? 근데 이동하기 전에저는 항상 몇 개씩궁금해서 랜덤한 값을 입력해 보았습니다! 1을 넣으니 아래와 같이 guest가 뜨네요! 그리고 이번엔 syntax error나 오류 메세지가 어떻게 나오나(왜냐면 오류코드가 힌트가 되니까요)확인해보려고 '를 입력하니 쿼리 에러라고 ..
2019.01.11 -
[어설픈] webhaacking.kr 58번 문제풀이
안녕하세요!오늘도 비교적 쉬운150점 짜리 문제 58번 풀이 진행하도록 하겠습니다! 우선 문제를 클릭해서 들어가니아래와 같이 뜨네요! 처음에 보고 자바스크립트인가?뭐지?하고 생각했습니다. 일단 pw가 있으니패스워드를 입력하라고 하는 거겠죠? 그래서 아래와 같이 뭐 admin 입력한 번 해봤습니다! 그랬더니 아래와 같이 뜨네요! 그래서 몇 개 더 입력해봤습니다!'도 입력해보고 "도 입력해보고 근데 모두 wrong이라고만 출력되고 제가 힌트로얻을수 있는 것들이하나도 없었습니다! 그래서 저는 오랜만에 F12를 눌러서어떤 소스코드로 되어있나한번 확인해 보았습니다! 근데 소스코드도 뭐 간단하네요!다른건 특이한게 없는데! hackme.swf가 보이죠? 날 해킹해 달라고 애원하고 있죠?오키 바로 해킹하러 갑시다! 근..
2019.01.08 -
[어설픈] webhacking.kr 23번 문제풀이
안녕하세요! 오늘은 100점 보단 좀 더어려운 200점짜리의23번 문제풀이를 하겠습니다!! 먼저 23번 문제를 클릭해서 들어가니 아래와 같이 뜨는군요! 직관적으로 문제풀이에 대한힌트를 잘 제시해주네요! "Your mission is to inject "= 너의 미션은 을 주입하는 것이다! 이거는 xss 공격이죠!정식명칭은 cross-site scripting이라고 부릅니다! 자 그래서 일단 무식하게 저기 적힌 그대로 입력하고 제출을 해봤습니다! 그랬더니 no hack! 이라고뜨네요! 분명히 어디를 필터링 한건데....흠... 어디를 한거지??? 그래서 하나씩 입력해봤습니다!에서 이 필터링 안됐다는 걸알 수 있습니다! ..
2019.01.07 -
[어설픈] webhacking.kr 25번 문제풀이
안녕하세요!오늘도 비교적 쉬운 문제인 150점짜리 25번 문제를 풀어보도록 할게요! 25번 문제를 클릭해서 들어오니!이렇게 뜨네요? 합계 12 밑에-rw-r--r-- 1 old zombie users 등등 적혀있는데... 웹 해킹만 공부하신 분들은"이건 처음보는데? 뭐지? 후우...."이렇게 생각 하실 수 있습니다! 왜냐면 이건 리눅스와 관련된 거에요!저도 시스템 해킹 공부하고 있어서 다행히 보고 무슨 말인지이해 했네요! --rw-r--r-- 여기가 중요해요!이 부분이 파일에 어떠한 권한이부여됐는지 알 수 있거든요! ※그러면 일단 무슨 권한들을 파일에게 줄 수 있는데?(1) r = read(읽기 권한) 4의 값을 가짐(2) w = write(쓰기 권한) 2의 값을 가짐(3) x = execute(실행권한..
2019.01.07