본문 바로가기

Hacking/- Webhacking.kr

[Webhacking.kr] 0. webhacking.kr 소개

반응형

Webhacking.kr은 Oldzombie님이 직접 운영하는 웹해킹 사이트로 상당히 많은 웹해킹 문제를 가지고 있는 사이트이다. 그리고 도메인 이름이 'Webhacking'인 만큼 문제도 오직 웹해킹에 대한 문제만 올라와 있다.


일단 홈페이지를 접속해보면 아래와 같은 단순한 UI를 가진 화면을 볼 수 있다.

접속하기



일단 아래에 글자의 인코딩이 깨지는 것은 신경쓰지 말자.... 아무래도 사이트가 만들어진지 오래되었기 때문에, 인코딩이 utf-8로 설정되어 있지 않아서 깨지는 것이고, 딱히 이것은 깨져도 별 상관이 없기 때문에 그냥 무시하도록 하자.


그런데 이 사이트를 보면 'Login'버튼만 있고, 'Join'버튼은 존재하지 않는다. 즉, 어디엔가에 회원가입을 할 수 있는 버튼이나 링크가 숨겨져 있다는 의미이다.


구체적으로 설명하긴 어렵고 '소스보기'를 하면 회원가입을 할 수 있는 링크가 주석으로 처리된 것을 확인할 수 있다. 그래서 그 링크를 들어가면 아래와 같은 사이트를 볼 수 있다.



여기서 아이디와 패스워드, 그리고 이메일 주소를 입력하고 decode me에 있는 문자열을 디코딩해서 값을 넣고 submit을 누르면 된다. decode me에 나온 문자열에 대한 정보는 끝 부분이 '='로 패딩되어 있기 때문에 그걸 이용하면 어떤 방식으로 문자열을 인코딩했는지를 쉽게 알아낼 수 있을 것이다.


그래서 이렇게 회원 가입을 마치고, 로그인을 한 다음 상단 메뉴 중에서 Challenges 버튼을 누르면 아래와 같이 문제들의 목록을 볼 수 있다.



총 61개의 문제가 공개되어 있으며, 62~66번 문제는 추가된다고 하는 메시지가 있는데 이 메시지가 보인지 한참이 지난 것을 보면 아무래도 oldzombie님이 매우 바쁘신걸로 보인다...


어쨌든 이 문제들을 다 해결하면 수료증을 받을 수 있다.



이제 시간이 나는데로 이 문제들에 대한 풀이를 하나씩 정리해서 올리도록 하겠다.

대부분 Python3로 공격코드를 구현할 것이기 때문에 직접 따라해보실 분들은 Python3를 설치하는 것을 권장한다. 그리고, 어떤 문제의 경우에는 로컬 db와 연동을 하는 부분이 있기 때문에 Mysql도 미리 설치를 해놓으면 좋다.(물론 db 접속 포트를 ISP에서 막아놓는 경우도 있으니 이 경우에는 그 문제를 풀기 위해서는 DigitalOcean과 같은 클라우드 서비스를 이용하면 풀 수 있을 것이다. 이에 대한 내용은 그 문제를 풀 때 좀 더 상세하게 설명할 예정이다.)



반응형

'Hacking > - Webhacking.kr' 카테고리의 다른 글

[Webhacking.kr] Problem 03  (0) 2016.07.11
[Webhacking.kr] Problem 02-2  (0) 2016.03.19
[Webhacking.kr] Problem 02-1  (0) 2016.03.18
[Webhacking.kr] Problem 01  (1) 2016.03.12