일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- php
- Visual sutdio
- httplib2
- js code 해석
- webhacking 14
- urllib.request
- HTML
- js 해석
- aiohttp
- php code 해석
- hidde flag
- webhacking
- js 코드
- js 문제
- 쿠키 사용법
- webhacking.kr 14
- repl.lt
- robot image
- 비주스
- hacking
- 쿠키는 맛있음
- php code
- webhacking.kr
- faster_than_requests
- Web
- php base64 encode
- php 해석
- webhacking 6
- web cookie
- http.client
- Today
- Total
목록ctf.j0n9hyun.xyz (8)
it 공부 일기 - 워게임 ctf 풀이 및 언어 강좌모음
한번 들어가보면 이렇게 나와아 마법봉이랑 해쉬에 마법을 부여하면 그 어떤 것도 뜷릴지어니.. 라고 나와있는것을 볼 수 있다. 일단 View Soruce 라는게 있는데 한번 버튼을 눌러보면 이렇게 간단한 소스코드가 나와있을것을 볼 수 있다. 먼저 이 조건에 만족해야지만 flag가 나오는것일텐데 $input 는 클라이언트가 직접 입력을 하면은 되는것이다. 해당 문제는 매직해쉬를 이용하여 푸는 문제이다 php 의 경우 == 비교 연산자는 www.php.net/manual/en/language.operators.comparison.php PHP: Comparison Operators - Manual When you want to know if two arrays contain the same values, re..
Guess me 문제에 들어가보면은 php 소스코드가 나오는것을 볼 수 있다. 만약에 php 를 자주사용해봤다면 바로 알겠지만 혹시 모른다면은 file_get_contents 와 extract 함수를 알고있다면 충분히 풀이가 가능하다. extract 함수는 www.php.net/manual/en/function.extract.php PHP: extract - Manual [New Version]This function is very useful for filtering complicated array structure.Also, Some integer bitmasks and invalid UTF-8 sequence detection are available.Code: $_GET, INPUT_POST =>..
Login 문제를 살펴보면 Login 버튼과 View Source 버튼이 있는데 View Source 를 눌러보면 이런식으로 PHP 소스코드가 나오는것을 볼 수 있는데 MYSQL 를 사용하고 Login 창이 있는것을 보아하니 sql injection 분제라고 예측이 된다. 해당 문제는 단순하게 mysql 결과만 나오게 하면은 된다 id = '' and pw = '' 이런식으로 아이디 패스워드를 받는데 sql injection 성공하기 위해서는 ' or 1=1 #'이런식으로 id 에 넣어주면 플래그가 나오게 된다. 해당 문제는 간단하고 심플한 sql injection이고 select * from jhyeonuser where binary id='$id' and pw='$pw' 해당 sql 쿼리에서 sql ..
hackctf web 문제중 / hidden flag 문제를 풀어보겠다. 보면 떡하니 로봇과 hidden flag 이라는것이있다 그러면은 한번 html 소스를 보기위해 우클릭을 한 다음에 페이지 소스 보기를 눌러보자 보면은 img src 부분에 살짝 특이한 부분이있다. http://www.irobotnews.com/news/photo/201709/11794_27156_1618.png 여기에서 robot 부분이 예전에 배웠던 robots.txt 를 연상케한다. 여기에서 robots.txt는 - 검색 로봇에게 사이트 및 웹페이지를 수집할수있도록 허용하거나 제한하는 국제기술 표준이다. - 단 모든 검색로봇이 이 표준을 따르지는 않지만 적용하기가 쉽다. 이 파일에 들어가는법은 해당 도메인에서 /robots.tx..
hackctf button 문제 링크로 들어가보면 이렇게 button이 나오는데 눌러도 아무것도 나오지 않는다 한번 html을 살펴보면 BUTTON 아래의 버튼으로 하여금 플래그를 출력하게 해줘! 이렇게 POST 방식으로 전송하게 만들어져있는데 플래그를 출력하게 해줘! 에서 감을 잡았다 한번 input 태그의 value 또는 name 을 flag 로 수정한 후 전송되면 어떨까 하고 말이다. name 와 value 를 둘다 시도해본 결과 value = "flag" 이렇게 보내야지만 flag 가 반환된다. 개발자도구(f12) 를 누른 후 해당 value 부분을 더블 클릭하여 조작하고 button 버튼 클릭하니 flag 가 나온다. 이번 문제는 개발자 도구를 알고있으면 충분히 풀이가 가능한 문제였다 ꉂ (๑¯..
해당 페이지에 들어가보면은 Page 1 , Page 2 , Page 3 가 있는데 각각 버튼을 누르면은 url 에 ?page=1 로 바뀌면서 GET 방식으로 데이터를 전달하면 이런식으로 해쉬가 나오게 된다. 2번째 버튼을 누르면 ?page=2 3번째 버튼을 누르면 ?page=3 이렇게 1씩 추가되는데 감으로 대충 python 스크립트를 짜서 요청 여러번 전송해보면 어떨까 하고 생각했다. import requests for i in range(1,10000): r = requests.get(f'http://ctf.j0n9hyun.xyz:2025/?page={i}').text print(i) if r.find('HackCTF') != -1: print(r) break 이런식으로 짜고 실행을 하고 flag 가..
처음에 들어가면은 ctf.j0n9hyun.xyz:2021/?command=google.com 이런 url 로 저렇게 나오는것을 볼 수 있다. 가운데에 보면은 이렇게 File is flag.ph 이라고 나와서 한번 ctf.j0n9hyun.xyz:2021/?command=flag.php 이런식으로 시도해봤더니 아무것도 안나온다???? 혹시라도 flag라는 문자를 필터링 하는게 아닐까 싶어서 ctf.j0n9hyun.xyz:2021/?command=flaghttps://www.google.com 이런식으로 해보니깐 진짜로 flag 를 필터링하는것을 알 수 있다 만약에 flag 라는 문자가 있으면 거르는것이 아닌 flag 라는 문제 자체를 제거 하는것 같다. 이제 flag 를 우회하기위해서는 flflagag 이런..
hackctf web 문제중 hidden 의 문제를 풀어볼것이다, 5번 파일에 플래그가 있다악!!!!!!! 이랑 버튼 4개가 있는것을 볼 수가 있는데 페이지에서 우클릭 한 다음에 페이지 소스 보기 누른다음에 확인해보면은 - 각 버튼마다 form 태그에 감싸져있는 input 와 button 이 있는것을 볼 수가 있다. 맨위 부분을 간단하게 해석 해보면 - get 방식으로 id 이라는 이름으로 값 1 을 보내는거같다. - 그러면은 버튼을 누르면 ?id=1 이라고 예측을 할 수가있다. 버튼을 눌러보면 진짜로 id 가 1 이라는 값으로 이동되면서 alert 경고창이 뜬다. 근데 페이지를 보면 5번 파일에 플래그가있다라고하는데 값 5를 보내면 되지않을까라고 생각한다. get 방식으로 5번을 보내는 방법은 2가지가..