about Security58 [hackCTF] 01. Hidden 웹해킹 두번째 문제 그렇다고 합니다. 그래서 버튼을 눌러봤더니 url이 이렇게 바뀌면서 Nop이라고 뜹니다ㅏ. 번호에 따라 id=의 숫자가 바뀌니까 5도 한번 넣어볼까요? !??!?!!?!?!?!? 이게 답이었습니다. ㅋㅋㅋㅋㅋㅋㅋㅋ 플래그 다 떼고 적으면 오답이라고 나옵니다. HackCTF{ ... 부터 복사해서 넣으세요..! 궁금점 : 왜 /id=5가 아니고 /?id=5로 ?가 붙을까요? 2022. 4. 5. [hackCTF] 00. / hackCTF 웹문제 처음 들어가면 안녕?! 로봇이 인사한다. 로봇이니까 robots.txt 열어보기 라고 쓰지만 사실 예전에 풀어봤으니까 바로 로봇s.txt 생각하지 처음 보는 문제라면 ? 뭐 어쩌라고 라고 생각했을듯 그래서 문제 페이지 뒤에 /robots.txt 를 붙여서 해당 페이지에 대해 들어가보면 /robot_flag/ 를 disallow해놨다고 뜬다. 여기에 플래그가 있을 거라고 알려주고 있으므로 다시 문제 페이지 URL뒤에 /robot_flag/를 붙여서 플래그를 획득하자. 이때 마지막 /까지 모두 잘 붙여야 한다. # robots.txt 크롤러가 사이트의 일부에 접근하지 못하도록 규칙을 정해놓는 파일 # 웹 크롤러 (web crawler) 자동화된 방법으로 웹을 탐색하는 컴퓨터 프로그램 [.. 2022. 3. 26. [드림핵] x86 Assembly 어셈블러(Assembler) : 0과 1로 이루어진 기계어를 사람이 좀 더 쉽게 이해할 수 있도록 통역해주는, 일종의 번역기 역어셈블러(Disassembler) : 기계어로 구성된 소프트웨어를 넣으면 어셈블리 코드로 변역해준다. # 어셈블리 언어 (Assembly Language) 기계어와 치환되는 언어 - 기계어의 종류에 따라 어셈블리 언어도 다르다. 다양한 ISA가 존재하므로 그만큼의 어셈블리 언어 종류가 있다. > x64 어셈블리 언어 - 명령어(Opcode, Operation Code)와 피연산자(Operand)으로 구성된다. ex) mov eax, 3 >> mov:대입 / eax에 3을 - 명령어 Opcode 데이터 이동, Data Transfer mov, lea 산술 연산 , Arithmeti.. 2022. 3. 26. [드림핵] Linux Memory Layout 프로세스 가상메모리의 각 구영이 어떤 정보를 담고 있는지 이해함으로써 프로세스 메모리의 전체 구조에 대해 큰 그림을 그려보자..! CPU는 실행할 명령어와 데이터를 메모리에서 읽고 ISA에 따라 처리하고 처리한 결과를 다시 메모리에 적재한다. 즉, CPU의 동작과 메모리는 서로 영향을 많이 주고 받는다. 만약 공격자가 메모리를 악의적으로 조작한다면 CPU는 공격자의 의도대로 동작할 수 있으며 이를 메모리가 오염됐다고 표현한다. >> 메모리 오염 (memory Corruption) 취약점 * 시스템 해킹의 많은 공격기법들이 메모리 오염을 기반으로 한다. # 리눅스 프로세스의 메모리 구조 리눅스에서는 프로세스의 메모리를 크게 5가지의 세그먼트로 구분한다. + 세그먼트 (segment) : 적재되는 데이터의 .. 2022. 3. 26. [드림핵] Computer Architecture # SYSTEM HACKING * 가상 머신 : 컴퓨터를 에뮬레이팅 한 것 가상 머신을 작동 시키는 컴퓨터를 호스트(Host)라고 부르며, 가상 머신 안에서 작동하는 컴퓨터를 게스트(Guest)라고 부릅니다. 가상 머신을 이용하면 호스트는 게스트에게 독립된 실행환경을 제공할 수 있습니다. 그 위에서 게스트는 윈도우, 리눅스, 맥 등의 운영체제를 구동할 수도 있고, 원하는 특정 프로그램만 실행할 수도 있습니다. 대표적인 가상화 소프트웨어로는 VMware, VirtualBox, Parallels, QEMU 등이 있습니다. # COMPUTER ARCHITECTURE, 컴퓨터 구조 컴퓨터로서 작동할 수 있도록 하는 여러가지 부품에 대한 기본 설계 컴퓨터 구조 : 컴퓨터가 효율적으로 작동할 수 있도록 하드웨어 및.. 2022. 3. 26. [ webhacking.kr ] 26번 url코드표 보고 admin을 바꿔보자 a %61 d %64 m %6d i %6c n %6e %61%64%6d%69%6e https://www.convertstring.com/ko/EncodeDecode/UrlEncode 한번더 URL 인코딩하면 %2561%2564%256d%2569%256e 2022. 2. 22. [웹] CSRF (Cross Site Request Forgery) # CSRF (Cross Site Request Forgery) [ 보고 공부한 사이트 ] https://dreamhack.io/?obj=11 2022. 1. 28. [웹] XSS XSS : 클라이언트 사이드 취약점 중 하나로, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행할 수 있다. 공격자는 해당 취약점을 통해 특정 계정의 세션 정보를 탈취하고 해당 계정으로 임의의 기능을 수행할 수 있다. XSS는 SOP 보안 정책이 등장하면서 서로 다른 오리진에서는 정보를 읽는 행위가 이전에 비해 힘들어졌다. 하지만 이를 우회하는 다양한 기술이 소개되며 여전히 XSS 공격이 지속되고 있다. 클라이언트는 HTTP형식으로 웹 서버에 리소스를 요청하고 서버로부터 받은 응답, 즉 HTML, CSS, JS등의 웹 리소스를 시각화하여 이용자에게 보여준다. 이때 HTML, CSS, JS와 같은 코드가 포함된 게시물을 조회할 경우 이용자는 변조된 페이지를 보거나.. 2022. 1. 27. [웹] 1. Cookie & Session http 프로토콜 : 웹 서버와 통신할 때 웹 서버에 명령을 내리기 위해 GET, POST와 같은 메소드와 자원의 위치를 가리키는 URL등이 포함되어 있으며 이외에도 헤더를 통해서 웹 서버에 요청을 보내고, 웹 서버는 헤더를 읽고 클라이언트에게 결과값을 반환. 이때 헤더에는 클라이언트의 정보와 요청의 내용을 구체화하는 등의 데이터가 포함되며, 이는 클라이언트의 인증 정보 또한 포함될 수 있다. 쿠키와 세션은 클라이언트의 인증 정보를 포함하고 있다. 쿠키 - 클라이언트의 정보 기록과 상태 정보를 표현하는 용도로 사용 - 클라이언트의 IP 주소와 User-Agent는 매변 변경될 수 있는 고유하지 않은 정보이다. 2022. 1. 25. 이전 1 2 3 4 ··· 7 다음
