잉카콜라 잉카콜라

Segfault - 미스터 브루트 문제 풀이입니다 1. Brute Force 문제이다 2. 4자리의 숫자를 모두 넣어봐야 한다 3. Intruder로 보내어 Brute Force를 해보려고 한다 4. 변수 설정을 해줬다 5. 우선 0000 부터 0999까지 시도를 해보았으나 무료 버전이어서 시간이 갈수록 느려졌다 6. /6/checkOTP.php뒤에 값으로 입력한 값이 전달이 됨을 확인하고 파이썬의 requests 모듈을 이용하기로 했다 7. 내가 보내는 url을 확인하기 위해 출력을 해 주었고 성공했다면 응답내용이 달라질 것이므로 res.content를 이용해서 확인을 해 주었다 8. 1021번의 내용이 달라서 1021을 입력하니 위와 같이 Flag가 나왔다

Segfault - 미스테이크 문제 풀이입니다 1. 로그인 정보가 주어졌다 2. 주어진 정보로 접속을 시도해 본다 3. 정상적으로 로그인 되었고 위와 같은 화면이 나왔다 4. admin계정으로 로그인을 시도해본다 ( 아이디, 비번 -> admin, admin ) 5. 취약한 비밀번호 설정으로 로그인이 되어버렸다

Segfault - 로그인 우회 문제 풀이입니다 1. 아이디와 비밀번호가 주어졌다 2. admin으로 접속시도해 본다 3. Intercept is on 으로 하여 어떤 정보가 이동하는지 보았다 4. 리피터로 옮겨서 성공했을 때와 실패했을 때를 비교해 보았다 11번째 줄에 result 의 결과가 다름을 알 수 있다 5. 로그인을 하는 페이지는 index.php, 로그인 검증을 하는 페이지는 loginProc.php, 로그인이 된 페이지는 login.php 이다 loginProc.php에서 userid 값은 mario, userPw 값은 mariosuper로 전달됨을 확인할 수 있다 ( 내가 입력한 값 ) 6. 로그인된 상태에서 loginProc.php?userid=admin으로 다시 전송해 보았다 7. 전..

Segfault - OTP 우회 문제입니다 1. 다른 정보는 없이 OTP인증을 뛰어넘어야 한다 2. 페이지에 접속해 보니 위와 같이 나온다 3. 확인 버튼을 눌러본다 4. 관리자 인증이필요하다고 나와있다 5. 비밀번호를 admin으로 해서 시도해 보았지만 실패했다 6. Burp Suite을 통하여 보니 처음 페이지는 /3/step1.php 였다 7. 확인을 클릭하고 인증을 하는 페이지는 /3/step2.php 였다 8. step1 -> step2 -> step3 으로 이동을 하는 것 같아서 step3으로 이동하니 위와 같은 페이지가 등장했다 9. 발사 버튼을 누르니 Flag를 획득할 수 있었다

Segfault - Get Admin 문제 풀이입니다 1. 아이디와 비밀번호로 mario와 mariosuper로 주어졌다 2. 주어진 아이디와 비밀번호로 로그인해 본다 3. 로그인이 무사히 되었고 위와 같은 페이지가 나왔다 4. 개발자 도구를 열어준 뒤 쿠키에 저장되어 있는 loginUser 값을 mario에서 admin으로 바꿔준다 ( 쿠키 변조 ) 5. 더블클릭하면 수정할 수 있다 6. 새로고침하게 되면 위와 같이 정답이 나오게 된다

Burp Suite 을 설치하고 처음 사용해 봐서 사용법을 정리해 보았다 1. 무료버전일 경우 Temporary project 만 선택이 가능하므로 Next를 바로 클릭 2. 이전에 작업했던 내용을 새로 설치한 Burp Suite에 적용하고 싶다면 파일을 골라주고 없다면 Start Burp 클릭 3. Proxy 에 Open browser를 클릭해서 브라우저를 열어준다 4. 위와같은 화면이 나오게 된다 5. Intercept is on 을 클릭해 주면 브라우저에서 전송한 내용이 바로 서버로 가지 않고 Burp Suite으로 넘어왔다가 서버로 전달이 되어진다 6. 위 사진과 같이 전달한 내용에 대한 정보가 표시가 되고 Forward를 클릭하거나 Intercept is on을 클릭해 off 로 바꿔주면 내용이..

내가 이용하려고 하는 사이트가 있다면 로그인 과정을 반드시 거치게 되어있다 또한 로그인을 이용하여 나만의 정보를 작성하거나 변경하는 등 다양한 작업을 할 수 있다 로그인 과정에 대해 공부하면서 로그인에 필요한 쿠키, 세션에 대해 정리를 해 보았다 클라이언트, 서버 클라이언트 클라이언트( Client )란 물건을 사고 파는데 있어서 고객의 입장이다 웹사이트에 접속을 해서 이용을 하는 우리들은 클라이언트 이다 서버 서버( Server )란 물건을 사고 파는 데 있어서 판매자의 입장이다 서버는 클라이언트들로 오는 정보를 받아들이고 정보에 대한 답을 해준다 쿠키 쿠키 로그인을 완료하고 서버와 내가 통신을 하는 과정에서 서버에게 나의 요청을 알리기 위해선 이 정보가 나의 요청임을 서버에게 알려 줘야 한다 만약 내..

Dreamhack 웹 Stage 5 -> CSRF-2 입니다 1. 페이지 접속 2. 각각 페이지 방문해보기 3. 로그인 페이지에서 guest, guest 로 로그인 해보기 4. guest로 로그인 하니 출력문구가 바뀌었다 admin으로 로그인하면 저곳에 Flag가 나온다는것을 알 수 있다 5. admin으로 로그인을 시도해 본다 6. 잘못된 비밀번호라고 한다 7. img 태그가 정상적으로 작동한다 8. 문제파일을 다운로드 받은 뒤 try ~~ except 부분을 보면 아이디, 비밀번호 guest, guest가 있고 admin과 Flag가 있음을 볼 수 있다 9. 로그인 부분에 제일 아래쪽을 보니 비밀번호를 잘못입력하면 wrong password 가 출력되도록 되어있다 방금전에 admin으로 로그인에 실패..