Javascript-Obfuscation2 문제풀이 해보도록 하겠습니다. 1. 문제 문제에 접근하면 아무것도 안 보이게 된다... 2. 문제풀이 어떠한 문제인지 확인하기 위해 패킷을 잡아보았다. 패킷을 잡아보니 pass의 힌트가 보이며, 이 힌트를 통해 정답을 입력해보아야겠다. 이후 입력된 값이 인코딩 되어있다고 생각하여 Decoder를 이용하여 디코딩해보았다. String.fromcharCode를 통해 UTF-16 코드로부터 문자열을 반환시킨다고 한다. alert를 이용해 이 문자가 무엇인지 출력해 보았다. 뱉어준 결과가 Pass 값이 될 것 같아 인증하는 곳에 입력해 보았다. 결과는... 파랑새가 나를 반겨주었다~ 문제풀이 끄읏~

들어가니 php 코드와 함께 문제가 주어졌다. 코드를 살펴보니 secret.txt 파일 안에 $secretcode 값과 입력하는 $guess 값이 일치해야 flag 값이 나오는 듯 하다. 임의로 'asdf'라는 값을 넣어보니 GET 방식으로 guess라는 파라미터 값에 'asdf' 값이 들어 있는것을 볼 수 있었다. 이때 소스코드를 보면 guess라는 파라미터에 값을 넣어 보냈으니 &구분자와 filename에 같은 값을 넣어 보내면 flag 값이 나오지 않을까 생각해보았다. 흠, 이렇게 푸는 문제가 아닌가보다. 그래서 코드를 다시한번 살펴보니 extract함수를 볼수 있었다. extract함수는 전에 변수가 선언되어 있을 때, 변수를 한번 더 선언해 주면 초기 값으로 변경이 된다. 즉, url 뒤에 gu..

이번 문제는 난독화와 관련된 문제인것 같다. 개발자도구를 통해 button 태그의 onclick 이벤트를 보면 아에 값이 나와있다. 해당 값 입력하면 정상적으로 성공함

문제를 보면 속임수가 있다고 말을 하는 것 같다. 소스 코드를 보면 checkpass를 불러와야 하는데, checkpass와 이름이 비슷한 checkpassw라는 함수(속임수)가 존재하는데 이것이 속임수 같다. 소스의 다른 부분을 보면 check함수에 쓰이는 js가 존재하는것을 알 수 있다. 해당 js파일을 통해 정답은 moo pwns라고 알 수 있다. 정답을 입력하면, 정상적으로 문제 풀이 완성

OWASP(Open Web Application Security Project), 행정안전부, KISA에서 정의한 웹 취약점 점검 항목에 "취약한 메소드 설정"이라는 항목이 존재하고 실제로 취약점 진단 시 많이 나오는 부분 중 하나이므로 포스팅을 하게 되었다. Method는 일반적으로 많이 알고있는 GET, POST 외에 HEAD, PUT, DELETE, OPTIONS, TRACE 등으로 분류된다. 그 중 PUT, DELETE Method는 임의로 서버 내 파일의 생성 및 삭제가 가능하기 때문에 비인가 사용자에 의한 조작의 위험이 있고 TRACE Method 같은 경우는 클라이언트가 송신한 리퀘스트를 그대로 반환하게 되는데 이때 쿠키 및 세션값이 그대로 반환되게 되며 XST(Cross-Site Traci..

개요 이번 장에서는 Node.js 가 무엇인지 알아보고 Node.js를 기반으로하는 express 프레임워크로 웹을 설치해보고 일반적인 서버사이드스크립트 언어(JSP, ASP, PHP)가 아닌 js 파일을 이용해 웹에서 쉘을 실행시키는 방법에 대해서 알아보자. ※ 본 포스트는 개인적인 공부를 위한 목적으로 작성된 기술 문서입니다. 이 포스트에서 다루는 기술을 악용하거나 무단으로 사용하여 발생하는 모든 문제는 당사자에게 있으며, 경우에 따라 법적 처벌을 받을 수 있습니다. Node.js 란 무엇인가? Node.js는 서버사이드 자바스크립트 언어이며, 구글의 자바스크립트 엔진인 V8을 기반으로 구성된 일종의 소프트웨어 시스템이다. 이벤트 기반으로 개발이 가능하며 Non-Blocking I/P를 지원하기 때문..