새롭게 바뀐 webhacking.kr old 56번 문제를 풀어보도록 하겠습니다. 문제에 접속을 하니 아래와 같이 나옵니다. 게시판이 있고, 작성자 id와 내용 그리고 번호가 보이네요. 딱봐도 admin의 readme가 어그로를 계속 끌어서 한번 눌러보면 아래와 같이 access denied(접근 제한)이 뜹니다 read라는 parameter에 admin이라는 값을 입력하네요 그러면 guest의 hi~를 클릭해보면 어떻게 될까요 눌러봤더니 아래와 같이 뜨네요.. hello~ 그래서 처음에는 read라는 parameter에 SQL INJECTION 하는 문제인가? 라고 생각을 해서 read에 /?read= ' or 1 h,e,l,o,~중에 하나만 검색창에 쳐도 hello~ 검색한 것 처럼 똑같이 나옵니다!..

안녕하세요! 오늘은 100점짜리 webhacking.kr 문제를 풀어보도록 하겠습니다! 문제에 들어가니 아래와 같이 뜨네요!바로 index.phps가 있으니저기에 SQL injection 할 때필터링 되는 단어나 규칙이 적혀있겠죠? 아래와 같이 소스코드가 나오네요!Get 방식으로 no라는 parameter를 쓰네요! 그리고 eregi 함수 문자열 필터링을 하네요!\ , / , | , \t, &, union, select, from , 0x 등을 하네요!사실 \과 & 사이에 공백도 있어서공백도 필터링 하는데이건 injection하면서 알았습니다.. 그리고 q변수에 mysql_fetch_array 결과 값을 담네요!쿼리는 "id = guest고 (no= 사용자가 입력한 no값) 충족하는 id를 18번 테이블..

안녕하세요!오늘은 250점짜리 10번 문제를 풀어보도록 할게요! 문제에 들어가니 아래와 같이 뜨네요!직관적으로 드는 생각은 "O 이걸 사용해서 lotto 사는데 성공해야 하나?" 그래서 일단 마우스 커서를O에 올려놓으니 갑자기 yOu 이렇게 바뀌네요! 흠 뭐지? 뭐 딱히 되는 게 없네요... 개발자 도구 켜서O 위에 커서 올려놓으니이렇게 이런 태그가 뜨네요!그리고 태그에 hackme라고 적혀 있는 걸 보니이 태그를 잘 활용하면 문제가 풀리나 보네요! 흠, onmouseover, onmouseout 때문에 O와 yOu로바뀌었던 거네요! 그리고 제가 O를 클릭하면 this.style.posLeft에 1씩 추가가 되나봐요!(여기서 this는 hackme를 의미해요! hackme.style.posLeft로 이해..

안녕하세요!오늘은 webhacking.kr에서 150점짜리 문제!32번 문제를 풀이해보도록 하겠습니다! 문제에 들어가니, 이렇게 (1)랭킹 (2)사용자 이름 (3)hit 개수3가지가 적혀있네요! 그런데 상당히 이 리스트가 길더라구요!밑에 보면 아시겠지만, 787까지 있었어요!맨 밑에 join 버튼이 있었어요! 근데 아직까지도 잘 뭐하는 건지 어떻게 풀어야 하는지 감이 잘 오지 않았습니다! 개발자 도구를 켜서 소스코드롤 보니 엄청 길게 이 랭킹이 표현되어 있고!이름 위에 커서를 갖다 대면 click을 할 수 있나봐요! 일단은 클릭하면 어떻게 되나너무 궁금해서 상위 랭커 이름을 클릭해보니 이렇게 알림창이 뜨네요! no! 왜 안 된다 하는거지 .......???어떻게 하면 되는거지.....??? 근데 저도 방..

[해당 문제는 webhacking.kr 공사 이후에 정상작동 하지않는 문제입니다!] 안녕하세요!오늘은 200점짜리 문제인36번을 풀어보도록 하겠습니다! 제가 맨 위에서도 적어 놨듯이! 옛날에는 올바르게 command를 입력하면 됐는데지금은 올바르게 command를 입력해도 안됩니다! 저도 분명히 맞다고 생각하고 풀었는데 계속 안돼서 사람들이 어떻게 풀었나 찾아보니 지금은 안돼서 풀이에 올라온 결과 창 보고 풀었습니다! 일단 들어가보니아래와 같이 적힌게 끝이였습니다! 힌트는 (1) vi(2) blackout 에이 설마하는 생각에소스코드를 봤는데 아래와 같이 까알~끔하게저거 밖에 없네요... 여기서 이제 제일 큰 시간을 보냈습니다hint는 두 개 뿐이고너무 hint도 간단해서 그럼 일단 주어진 hint를조금..

안녕하세요!오늘은 250점짜리의webhacking.kr 12번 문제풀이를해보도록 하겠습니다! 문제에 들어가보니이렇게 javascript challenge라고 적혀있네요! 근데 저건 말고 뭐 아무것도 없었어요힌트가 될만한 게 .... 그래서 항상 그렇듯개발자 도구를 켜서소스를 봤습니다! 그랬더니 태그가 있고string.fromcharcode( )함수가 있네요!문자 그 자체로만 봐도, charcode(숫자)에서 온 string(문자) 즉, 숫자코드를 문자로 변환하는 함수죠! 그래서 앞 부분 WorkTimeFun=은 떼어 놓고string.fromcharcode( )함수와 인자들만 복사해서console창에 붙여넣으니 아래와 같은 식별할 수 있는 코드가 나오네요! 근데 자바스크립트 문제에서이렇게 자바스크립트 코드..