[Root-Me]/Web Client/Javascript - Obfuscation 3
2021. 8. 19. 18:02
워게임/Root-Me
클라이언트 Obfuscation 3문제 풀이 시작해보도록 하겠습니다. 위에 두 문제 정도는 시간이 좀 걸릴 것 같아 다음에 풀이법을 작성하여 보겠습니다~ 1. 문제 이번에도 동일하게 패스워드를 푸는 문제가 되겠네요~ 2. 문제풀이 처음 문제에 접속하게 되면 패스워드 입력하는 곳이 등장하여, test라는 임의의 문자를 입력하여보았습니다. 확인 버튼을 누르니 잘못된 패스워드라며 비웃어버립니다. 우선 힌트를 보기 위해 요청 패킷을 잡아보았습니다. 패킷의 pass를 보면 숫자가 뜬금없이 존재하며, ASCII코드의 숫자 값과 관련이 있지 않겠나 라는 추측을 해 보았습니다. 이후 숫자를 ASCII코드의 숫자와 대조해 보니 FAUX PASSWORD HAHA라는 값이 나오게 되었습니다. 코드를 분석하여 결과값을 토대로..
[Root-Me]/Web Server/HTML - Source code
2021. 8. 10. 23:36
워게임/Root-Me
Web Client 난이도가 높아져 잠시 Server 쪽으로 넘어왔습니다. Server 난이도 또한 상당해서 풀다가 막힐 것 같네요... 일단 문제풀이 시작하겠습니다. 1. 문제 문제를 보니 패스워드를 입력하라는 구간이 나옵니다. 2. 문제풀이 가장먼저 패킷을 잡아봐야겠죠~ 응답 패킷을 보니 it's really too easy! 라며 패스워드가 나와있네요. 주어진 패스워드를 입력하여 로그인해보겠습니다. 이 패스워드를 검증하는 곳에 넣으라는 구문이 보이네요. 결과는... 패스워드를 검증하는 곳에 입력하니 파랑새가 나와 축하해주네요~ 지금까지 쉬운 문제여도 이런 적이 없었는데 다음 문제는 얼마나 어려울지 두렵습니다...
[Root-Me]/Web-Client/Javascript - Obfuscation 2
2021. 8. 2. 23:05
워게임/Root-Me
Javascript-Obfuscation2 문제풀이 해보도록 하겠습니다. 1. 문제 문제에 접근하면 아무것도 안 보이게 된다... 2. 문제풀이 어떠한 문제인지 확인하기 위해 패킷을 잡아보았다. 패킷을 잡아보니 pass의 힌트가 보이며, 이 힌트를 통해 정답을 입력해보아야겠다. 이후 입력된 값이 인코딩 되어있다고 생각하여 Decoder를 이용하여 디코딩해보았다. String.fromcharCode를 통해 UTF-16 코드로부터 문자열을 반환시킨다고 한다. alert를 이용해 이 문자가 무엇인지 출력해 보았다. 뱉어준 결과가 Pass 값이 될 것 같아 인증하는 곳에 입력해 보았다. 결과는... 파랑새가 나를 반겨주었다~ 문제풀이 끄읏~
[Root-Me]/Web-Client/Javascript - Authentication 2
2021. 7. 27. 22:12
워게임/Root-Me
Javascript - Authentication2 번째 문제 풀이 시작해보도록 하겠습니다. 1. 문제 문제에 접근하니 로그인하라는 문구가 보이네요 2. 문제풀이 요청 패킷을 잡아보았다. 페이지 내용만 보이게 되며 추가적인 정보를 얻을 수 없었다. 로그인 버튼을 눌러 패킷을 잡아 보아야겠다고 생각했다. ID에 임의의 test를 입력해 보았다. 이후 패스워드를 입력하라는 공간이 나왔다. 똑같이 test를 입력해보았다. 나에게 버릇없는 해커라고 핍박을 주었다... 더욱 자세히 힌트를 얻기 위해 개발자 모드를 사용하였다.(크롬 기준 F12) login.js 파일이 하나 더 있었으며, ID, PW 힌트가 보였다. GOD:HIDDEN 값이 , 를 두고 적용이 되는 것 같아 보였다. username에 GOD pas..
[Root-Me]/Web-Client/Javascript - Source
2021. 7. 14. 04:06
워게임/Root-Me
세 번째 문제 시작하도록 하겠습니다~ 1. 문제 문제에 접근하게 되면 패스워드를 입력하라는 창이 뜨게 된다. 2. 문제풀이 뜬금없이 패스워드를 입력하라고 한다.... 우선 어떠한 반응이 일어나는지 확인하기 위해 test문구를 입력하여 보았다. 이후 반응을 보니 잘못된 패스워드라는 값을 던져주었다. 어떻게 생겨먹은 로직인지 확인하기 위해 패킷을 잡아보았다. 패킷을 잡으니 pass 값이 나와있다. 이를 다시 패스워드 입력 칸에 입력해보았다. 결과는... 이 패스워드 값을 검증하는 곳에 사용하라는 것 같다. 검증하는 곳에 의뢰를 맡기니 파랑새가 반겨주었다~ 이전에 패킷을 잡으면 안 잡히는 현상이 있었다. 이를 확인해 보니 두 번째 패킷을 잡을 때부터는 304를 뿌려주었다. 이게 무엇인지 조사해보니 304 No..
[Root-Me]/Web-Client/Javascript - Authentification
2021. 7. 12. 20:07
워게임/Root-Me
두 번째 문제풀이 시작하도록 하겠습니다~ 1. 문제 ID/PW를 통해 로그인하면 문제가 풀리는 것처럼 보인다. 2. 문제풀이 바로 ID/PW에 test 값을 넣어 봤지만. 패스워드가 틀렸다고 한다... 이후 패킷을 잡아 진행해보려 하였는데, 패킷이 잡히지않고있엇다.... 어쩔 수 없이 페이지 소스 보기를 통해 힌트를 얻었다. HTML 코드 상에선 힌트가 존재하지 않아 로그인이 수행되는 login.js 코드를 살펴보았다. 이 부분은 패킷이 안잡혀 이렇게 볼 수밖에 없었다... 도중에 패킷 요청 변조를 하니 아예 화면이 안보이기도 하였다... 어쨌든 얻은 힌트를 통해 ID/ PW를 넣고 로그인을 시도해 보았다. 성공하였다고 알려주며 패스워드를 타당성 검증하는 곳에 입력하라는 문구가 나왔다. 이후 타당성 검증..
[Root-Me]/Web-Client/HTML - boutons désactivés(disabled button)
2021. 7. 12. 19:24
워게임/Root-Me
새로운 워게임 사이트를 찾게 되었다. 초급자가 진행하기 쉬울 것이라고 하여 페이지에 접속해 보았다. 간단 접속 및 로그인 법부터 설명하고 문제풀이를 진행하도록 하겠다. 사이트는 https://www.root-me.org이다. 빨강 박스를 통해서 ID/E-mail/PW를 입력할 수 있다. E-mail 인증이 필요하며, 네이버로 메일 작성했는데 메일이 안 와서 google 메일을 사용하였다. 로그인은 E-mail/PW를 통해서 로그인하게 된다. ID는 별명 정도로 사용되는 듯하다. 이후에 로그인하게 되면 이렇게 리다이렉트가 되며 Challenges를 통해서 문제에 접근할 수 있다. 바로 Web-Client 문제 먼저 시작해볼 예정이며, 막히면 Web-Server로 넘어가면서 풀어봐야겠다. 그럼 이제 문제풀이..