Hacking 썸네일형 리스트형 [Wargame.kr] 3. flee button 450점에 해당하는 Web 문제이다. 난이도의 경우에도 이전의 두 문제와 거의 비슷한 난이도이다. 여기서는 Javascript와 HTML에 대한 기초적인 지식만 있으면 풀 수 있는 문제이다. 문제 링크 문제 사이트에 접속하면 아래와 같이 메시지 박스와 버튼이 뜨는 것을 볼 수 있다. 메시지 박스의 내용을 대충 해석하면, 버튼을 누르면 인증키를 얻을 수 있다는 의미이다. 그래서 버튼을 클릭하기 위해서 마우스를 버튼쪽으로 가져가니 버튼이 마우스로부터 계속 멀어지는 것을 확인할 수 있었다. 즉 이것을 통해 Javascript를 이용해서 버튼과 마우스 사이의 거리를 측정한 다음 어느 거리 이하가 되었을 때 마우스로부터 멀어지도록 하는 함수가 구현되어 있다고 추측이 가능하다. 문제에서 버튼을 누리기만 하면 된다고.. [Wargame.kr] 2. QR CODE PUZZLE 300점에 해당하는 Web 문제이다.이 문제의 경우에도 1번과 마찬가지로 매우 쉬운 문제라고 볼 수 있다. 문제 링크 문제 사이트에 접속하면 아래와 같은 6X6 퍼즐을 볼 수 있다. 그리고 퍼즐의 조각을 누르게 되면, 퍼즐이 움직이는 것을 확인할 수 있다. QR code의 경우에는 중간에 누락된 부분이 없이 정사각형으로 모든 데이터가 존재해야만 인식이 가능하다. 그렇기 때문에 이 퍼즐을 다 맞춘다고 하더라도 인식이 불가능하다는 것을 의미한다. 그렇기 때문에 퍼즐을 다 맞추고 나면, 원본 이미지를 가져오는 부분이 존재를 해야한다. 그래서 이 원본 QR code 이미지를 가져오는 부분이 있는지 확인하기 위해서 Chrome의 개발자도구에서 Network탭으로 가서 확인을 해보았다. 마지막 부분을 보면 qr.p.. [Wargame.kr] 1. already got 200점에 해당하는 Web 문제이다.이 사이트에서 가장 낮은 배점을 가지고 있는 만큼 상당히 쉬운 난이도를 가지고 있는 문제이다. 문제 링크 문제 사이트에 접속하면 'you've already got key! :p'라는 메시지를 볼 수 있다. 이미 키에 해당하는 값을 가지고 있다고 하는데, 사이트에서는 표시가 되지 않는다. 혹시 주석으로 key를 써놓았는지 여부를 확인하기 위해서 사이트의 소스보기를 하더라도 주석이 하나도 없는 것을 확인할 수 있다. 여기에도 주석이 없기 때문에 그다음으로 생각할 수 있는 것이 헤더부분에서 key값을 전송해주는 것이 아닌가라는 생각을 할 수 있다. 그래서 크롬의 개발자도구에서 Network 항목을 보았더니 다음 아래와 같은 사진의 형태로 볼 수 있었다. 여기서 Reques.. [Wargame.kr] 0. 로그인 스크립트 Wargame.kr에 있는 Web문제를 풀 때, Python을 이용해서 해결하는 편이다. 따라서 문제를 풀어서 인증키를 얻어내야하는데, 이 인증키는 접속 ip와 접속자 id에 따라서 바뀐다는 말이 써져 있기 때문에, 문제를 해결할 때 쿠키값을 입력받아서 같이 전송을 해줄 필요가 있다. 쿠키값을 얻는 가장 간단한 방법은 브라우저에서 직접 얻어오는 방법도 있지만, 이 사이트가 CodeIgniter 2로 개발이 되어서 쿠키 값이 매우 더럽다.(쿠키를 사용자와 관련된 데이터 전부를 json형태로 저장한다.) 그래서 이것을 한 두번 정도는 직접 복사 붙여넣기를 할 수 있는데, 이 행동을 매 번 문제를 풀 때마다 해야하기 때문에, 단순히 아이디와 패스워드만 입력하는 방법으로 하면, 매번 쿠키값이 달라지는 것에 대해.. 지뢰찾기 리버싱 (0) 아마 지뢰찾기에 대해 들어보지 않은 사람은 찾기 어려울 것이다. 내가 처음으로 사용했었던 운영체제인 Windows XP부터 시작해서 Windows 7까지 기본으로 들어가 있는 게임이었다. 안타깝게도 Windows 8.1부터는 기본적으로 제공해주는 것이 아니라 X box 앱을 통해서 설치를 해야 지뢰찾기 게임을 할 수 있었다. 이처럼 지뢰찾기 게임이 정말 오래된 게임이기 때문에 많은 사람들이 이 게임을 리버싱을 했으며, 그만큼 구조가 단순할 것이라고 생각해서 이 프로젝트를 시작했다. 내가 현재 사용하는 컴퓨터의 운영체제가 Windows 8.1이어서 Windows 7에 깔려 있는 지뢰찾기를 구해서 실행해보았으나 작동을 하지 않아서, 결국 Windows XP에 깔려 있는 지뢰찾기를 구해서 리버싱을 시작하였다... Christmas CTF 2015 2015년 크리스마스 때 진행한 CTF이다. 크리스마스 때 할 일이 없어서 몇 문제를 풀어보았는데 정말 재미있는 문제들이 많았지만, 실력이 아직 많이 부족해서 제대로 푼 문제들이 거의 없었다는 점이 아쉬웠다. 특히 Lots of Love 문제의 경우에는 색을 다 칠하긴 했는데, 그 다음을 어떻게 진행해야하는지를 몰라서 바로 답을 낼 수 있는 직전까지에서 멈추었다는 점이 아쉬웠다.Hint 1의 #RGB가 그런 의미였다니...ㅂㄷㅂㄷ... 그리고 SuperLogin 문제의 경우에는 서버의 응답속도가 너무 느려서 처음에는 이 사이트를 들어가는 것이 문제인 줄 알았는데, 크리스마스가 지나고 다시 들어가니 정상적으로 접속이 가능해서 당황스러웠다... 역시 System 분야는 어려운 것 같다...ㅠㅠㅠ.. 올해에 .. [문제 사이트] Lord of SQLinjection 2 rubiya님께서 새롭게 만든 sql injection site이다. 전에 오픈했던 서비스인 Lord of SQLinjection의 새로운 버전이라고 보면 될 것 같다. 다른 워게임 사이트의 경우에는 웹만 다루더라도 다양한 분야를 다루는데, 이 사이트에서는 오직 sql injection에 대해서만 다루므로 공격할 대상이 명확하다는 점에서는 좋은 점이긴 하지만, 확실히 이 하나의 부분만 다루고 있기 때문에 조금 심화된 내용으로 공격을 해야 한다는 점이 어려울 수도 있다. 이전 버전에서는 앞 단계의 문제를 해결해야지 그 다음 문제로 넘어갈 수 있도록 되어 있는데, 이번 버전에서는 앞 단계의 푼 여부와 상관 없이 다음 단계 문제를 풀 수 있다는 점이 달라졌다.(그리고 난이도가 대폭 상승한 것처럼 느껴진다..... [Android] V앱 분석하기 (2) 앞선 글에서는 V앱을 Android 외부에서 분석을 해보았다. 이번 글에서는 V앱을 Android 내부에서 분석한 과정에 대해 서술하고자 한다. 이 내용은 공부를 하기 위해서와 개인적인 용도를 위해서 사용한 방법을 써놓았습니다. 이를 악용하거나 퍼가는 일은 자제해주셨으면 좋겠습니다. 특히 실제로 운영되고 있는 모바일게임에서 아래와 방법으로 공격할 경우 법적인 책임이 있을 수 있습니다.이 글은 V앱의 제작사인 NAVER에서 요청한 경우에 비공개 게시물로 되거나 혹은 삭제가 될 수 있습니다. 네이버 사의 요청으로 내용이 삭제 되었습니다. 이전 1 2 3 4 5 6 ··· 9 다음
