webhacking.kr5 Webhacking.kr 랭킹 탑 30 탑 30 안에 들었다..! 29등 했다!!!!!! 내가 여기에 들려고 얼마나 열심히 풀었는데ㅠㅠ 아무래도 여기는 php 취약점이랑 javascript 관련 문제, sql injection 문제들이 많은 거 같다. 문제 유형 자체는 new랑 old랑 거의 비슷함.. 드림핵 가서 xss 랑 csp 관련 문제 많이 풀어야하는데T^T….. + Redos 관련 포스트, 드림핵에서 푼 흥미로운 웹 문제(?) 하나 관련 포스트, pwnable.xyz에서 풀고 있는 문제 관련 포스트들 하나씩 올려야겠다….. 2022. 5. 11. ReDos Attack + Blind Regular Expression Injection Attack webhacking.kr 리뉴얼된 문제들을 풀어보면서, 새로운 해킹 기법과 지식을 습득할 수 있었다ㅎㅎ 가장 대표적으로 이 문제가 있었는데, blind regex injection attack 과 ReDos에 대한 새로운 내용을 배울 수 있었던 문제라 해당 문제에 대한 간략한 writeup, 그리고 ReDos attack이 무엇인지 적어보고자 한다! 우선 이 문제의 경우, GET 방식으로 pattern 파라미터에 특정 내용을 보내주면 그대로 preg_match 함수의 인자로 사용되게 된다. 이 외에는 전혀 다른 힌트가 없다. PHP manual을 참고해 preg_match함수에 대해 살펴본다면, pattern 파라미터는 regular expression이 들어가게 된다. 관련 공격 기법을 찾아보다가 Ti.. 2022. 4. 3. webhacking.kr 문제 리스트/ 문제 유형/ 문제 난이도 challenge-old 문제 올클 했다! 20년도 2학기부터 조금씩 풀기 시작하다가 다른 사이트(드림핵, Los, suninatas)에서 좀 풀고 겨울방학때부터 다시 마무리하기 시작! new 문제들은 좀 어려워서 절반 정도 밖에만 못 풀었다ㅠㅠ 고급 웹해킹 스터디에서 old 문제들 풀어볼 스터디원들을 위해 공격에 따라 문제들을 좀 분류해보고자 한다! 문제 풀이에 다양한 방법이 있을 수 있으나, 내가 풀이 했던 방법과, 지극히 주관적인 내 기준 난이도를 적어보고자 한다. (스포가 될만한건 모자이크) [문제 목록] old1- cookie 변조, PHP 코드 분석 (하) old2- Blind SQL injection (중상) old3- SQL injection, Misc (Nonogram) (중하) old4.. 2022. 3. 22. SQL injection + INFORMATION_SCHEMA 방학동안 webhacking.kr, LOS를 중점적으로 풀고 있는데 카톡에 풀이 대충만 적어놓고 블로그엔 한꺼번에 올려야지 계속 미루다가..오랜만에 글을 쓰게 되었다. 마침 동아리에서 스터디 진행하면서 발표 자료를 만들게 됐는데 그거 바탕으로 블로그에 글 쓰게 되었다. 어려운 내용은 아니지만 SQL injection 기법들을 다양하게 익히는 중이라 한번 정리해보고 싶었다. INFORMATION_SCHEMA란? Database에는 메타데이터가 존재한다. 즉 정보에 대한 정보를 보관하는건데, MySQL 에서 일반적인 데이터에 대해 table을 생성하고 database를 형성하는데, 메타데이터를 종류별로 모아 table을 생성해 INFORMATION_SCHEMA라는 database를 형성한다. Informat.. 2022. 1. 20. 이전 1 2 다음
