IT Security

[PHP] For, Foreach

For, Foreach PHP에서 루프를 사용하는 방법은 두가지가 있습니다.첫번째는 For 문, 두번째는 배열에서만 작동하는 Foreach문이 있습니다. ForFor문은 일반적인 C언어와 비슷합니다. 아래와 같은 구조로 이루어져있습니다.12345 EX) 0 부터 10까지 카운트되는 for문123456789101112131415161718 Foreachforeach문은 배열에서만 작동합니다. 아래와 같은 구조로 되어있습니다. 루프가 돌때마다 현재 배열요소값을 하나씩 가져옵니다. 12345 EX) 배열에 있는 요소 하나씩 출력12345678910111213

SECURITY/PHP 2017. 7. 17. 19:48

[Webhacking] Challenge 1

[Webhacking] Challenge 1 Webhacking.krWebhacking 사이트 : http://webhacking.kr/ [힌트]1. index.phps 로 이동 -> 소스 보기2. Cookie 값 변조 - Edit this cookie 툴 사용 처음 페이지로 들어가면 Level1 index.phps 로 들어가라는 표시가 되어있습니다. 그 부분을 누르거나 뒤에 index.phps를 url 에 치게 되면 소스코드가 보입니다.소스코드를 분석해보면 php로 user_lv이라는 Cookie 변수를 생성하고 있습니다. 1이라는 값으로 생성되고 있습니다. 그 쿠키의 값이 5보다 클때 문제는 풀리고, 6보다 크면 user_lv의 쿠키값은 1로 설정되게 코드를 짜 놓았습니다. index.php페이지에서..

SOLUTION/Webhacking 2017. 7. 16. 23:00

[Net-force] Having fun?!? :-)

[Net-force] JavaScript : Having fun?!? :-) Net-force Web WargamesNet-force 사이트 : https://net-force.nl [힌트]1. unescape2. sha1 디코딩 페이지 소스보기를 하면 제대로 script 가 보이지 않는다. F12를 눌러서 Source를 보면 페이지 소스보기에서 있던 script말고 밑에 하나 더있는데 그 부분을 이용해서 풀어야 한다. 밑에 unescape 부분만 풀어주게 되면 함수가 나오는데, SHA1으로 해시되어있다. SHA1으로 디코딩 해보면 login = bas, pass=dude가 나온다. 이 부분을 input password부분에 넣어주면 틀렸다고 나온다. 그 이유는 입력된 password 부분이 대문자로 인..

SOLUTION/Net-Force 2017. 7. 16. 22:59

[PHP] Preg_match

Preg_match( ) preg_match( )는 문자열에 패턴을 검색하고, 패턴이 존재하면 TRUE값 반환해주고, 그렇지 않으면 FALSE값 반환해 줍니다. preg_match( ) 사용법 123456789cs 정규표현식 모음 한글"/[\xA1-\xFE\xA1-\xFE]/"; '{\x{1100}-\x{11FF}\x{3130}-\x{318F}\x{AC00}-\x{D7AF}' 영문'/[a-zA-Z]/'; 숫자'/[0-9]/'; 특수기호'/[!#$%^&*()?+=\/]/'; 한글과 영어를 제외한 것들 '/[^\x{1100}-\x{11FF}\x{3130}-\x{318F}\x{AC00}-\x{D7AF}a-zA-Z\s]+/u' 한글단어들 중 영문이 1음절 포함 된 것들 $hanPattern = '{\x{1100..

SECURITY/PHP 2017. 7. 16. 22:59

[Webhacking] 회원가입하기

[Webhacking] 회원가입하기 Webhacking.krWebhacking 사이트 : http://webhacking.kr/ 처음 Webhacking 사이트에 들어가보면 Login 페이지만 뜨고, 회원가입하는 창이 뜨지 않습니다. 일부로 막아놓은 것인데, F12(웹 개발자모드)에서 소스보기를 통해서 주석으로 처리된 회원가입 창을 변경해서 들어갈 수 있습니다.(참고로 저는 크롬으로 들어갔습니다.) Element부분에 잘 찾아보면 Register 라는 부분이 있는데 이 부분이 주석으로 되어있습니다. 오른쪽 마우스클릭하면 Edit as HTML부분을 클릭하면 소스를 변경시킬수 있습니다. 주석부분인 앞쪽 부분을 지워주면 Register라는 부분이 뜨는 것을 볼 수 있습니다. 이 부분을 클릭해 들어가면 회원가..

SOLUTION/Webhacking 2017. 7. 16. 22:58

[Net-force] HTML Guardian

[Net-force] JavaScript : HTML Guardian Net-force Web WargamesNet-force 사이트 : https://net-force.nl [힌트]1. 페이지 소스 보기 (F12로 꼭!!!) 우클릭을 막아놓았기 때문에 view-source:로 보게되면 엄청나게 긴 소스코드가 보인다. 하지만 F12로도 페이지 소스코드를 볼 수 있는데, F12에서는 password가 주석처리되어 보인다. 그 점을 통해서 Challenge 페이지에 전달하면 문제는 풀린다.

SOLUTION/Net-Force 2017. 7. 16. 14:12

[Net-force] Micro$oft crap...

[Net-force] JavaScript : Micro$oft crap... Net-force Web WargamesNet-force 사이트 : https://net-force.nl [힌트]1. unescape2. JScript.Encode JScript http://www.jb51.net/tools/onlinetools/jiemi/jsendecode.htm 페이지 소스를 보면 Words라는 변수로 Unescape로 풀어주라고 써있다. 풀어주면 밑에와 같은 script 형태가 나온다. 그 안에 JScript.Encode처리되어있다. 이 부분은 JScript.Decode되는 페이지로 들어가서 Decode해 보면 substring으로 처리되어있다. 이 부분을 코드를 돌려주면 값이 두개가 나오는데, 주소형태로..

SOLUTION/Net-Force 2017. 7. 16. 14:11

[Net-force] Is this safe...?!?

[Net-force] JavaScript : Is this safe...?!? Net-force Web WargamesNet-force 사이트 : https://net-force.nl [힌트]1. 페이지 소스보기2. 페이지 존재 X -> 상위 페이지 이동해 확인 페이지 소스를 보면 User와 Pass값이 존재한다. 그 부분을 User와 Pass에 입력해보면 soulslayer/2abl6e94iuufo.html 이동하게 소스코드를 짜 놓았다. 하지만 user와 pass를 입력해보면 net-force 홈페이지로 이동한다. 이 페이지가 존재하지 않기 때문에 홈페이지로 이동하는 것으로 예상해 볼 수 있다. 상위 디렉터리로 가보면 2abl6e94iuufo.html 가 존재하지 않다는 것을 확인할 수 있고, bla..

SOLUTION/Net-Force 2017. 7. 16. 14:11

[Net-force] Escape now!!!

[Net-force] JavaScript : Escape now!!! Net-force Web WargamesNet-force 사이트 : https://net-force.nl [힌트]1. unescape ex) str = "Need tips?"; str_esc = escape(str); document.write(str_esc) // Need%20tips%3F document.write(unescape(str_esc)) // Need tips? 소스를 보면 unescape된 부분이 존재한다. 이 부분을 먼저 unescape로 풀어주면 html소스 코드가 존재한다. 잘 분석해보면 Username 입력부분이 name=text2로 되어있고 값은 user, Password 입력부분의 name=text1으로 값은..

SOLUTION/Net-Force 2017. 7. 16. 14:11

[Net-force] This won't take long...

[Net-force] JavaScript : This won't take long... Net-force Web WargamesNet-force 사이트 : https://net-force.nl [힌트]1. substring 사용법 - 문자열 자르기 str = "Hello world!" res = str.substring(1,4); -> 결과값 : ell 소스코드를 보면 numletter를 substring해서 입력된 password값과 같은지 확인해본다. password를 찾아보면되는데, 제일 좋은 방법은 똑같이 코드를 돌려보면된다. 그러면 password는 bingo123이 나온다. 그 결과값을 넣으면 맞다고 뜬다. 똑같이 challenge page에 가서 password값을 입력해주면 문제는 풀린다...

SOLUTION/Net-Force 2017. 7. 16. 14:11