Site(96)
-
level24[old]
이번시간에는 level24을 풀어보겠습니다 공부하는 입장이라 틀린것이 있더라도 양해부탁드리겠습니다 level24에 들어가니 client ip와 agent값이 나옵니다 그리고 Wrong IP!라는 문구도 보이네요 일단 view-source를 클릭해 소스코드를 봤습니다 extract함수는 배열속의 키값을 변수화 시켜줍니다. ex) $str[x]=3; $str[y]=4; extract(str) -> x=3, y=4출력 $_SERVER와 $_COOKIE값을 변수화 시켜줍니다. $REMOTE_ADDR를 ip변수에다 저장하는데 $REMOTE_ADDR는 수퍼전역변수인 $_SERVER의 내부속성으로 현재보고있는 ip주소를 반환합니다. $HTTP_USER_AGENT를 agent변수에다가 대입합니다. $HTTP_USER_..
2022.03.19 -
level18[old]
이번시간에는 level18을 풀어보겠습니다 공부하는 입장이라 틀린것이 있더라도 양해부탁드리겠습니다 level18번을 클릭했더니 sql injection이라는 문제가 뜹니다 * sql injection : sql injection(SQL 삽입, SQL 주입으로도 불린다)은 코드 인젝션의 한 기법으로 클라이언트의 입력값을 조작하여 서버의 데이터베이스를 공격할 수 있는 공격방식을 말합니다. 주로 사용자가 입력한 데이터를 제대로 필터링, 이스케이핑하지 못했을 경우에 발생한다고합니다. reference check : https://namu.wiki/w/SQL%20injection * 일단 아무 값인 0을 입력했더니 아무런 반응이 없네요 view-source를 눌러서 소스코드를 보았습니다 빨간색으로 박스표시된 ph..
2022.03.18 -
level26[old]
이번시간에는 level26을 풀어보겠습니다 공부하는 입장이라 틀린것이 있더라도 양해부탁드리겠습니다 level26에 접속하는 검은색 화면에다 view-source라는 링크밖에 보이지 않습니다 일단 클릭해봅니다 두번째 php부분을 보면 preg_match로 GET방식으로 불러온 id값에 admin이 있다면 no출력을하고 urldecode한 id값을 id에 저장합니다 (구글링을 해보니 php에 인코딩, 디코딩을 할수있는함수가 있더군요...(urlencode(), urldecode()) 오랜만에 php를 보니 까먹었네요...공부좀해야될것같습니다...) 그 후 id값이 admin과 일치하면 해결되네요 * php urlencode($string str):url쿼리에쓸수있도록 인코딩 urldecode($string ..
2022.03.17 -
level16[old]
오늘은 level16을 풀어보겠습니다 공부를 하는 입장이니 틀린것이 있더라도 양해부탁드리겠습니다 level16을 실행시키니 이상한 별그림 2개가 보였습니다 어떠한 키를 눌러도 작동이 되질않더군요 소스코드를 확인해 보았습니다 body테그안에 onkeypress가 보이는데 키값을 누를때 이벤트가 발생한다고합니다. 즉 키를 누르면 mv함수가 실행되어 keyCode가 입력되는것 같습니다. cd에 keyCode값을 전달받아 먼저 kk함수를 실행시키네요 kk함수에서 Math.random()*900000[최대값]을 통해 난수를 생성하고 x를 left, y를 top으로 설정한거 같습니다 cd==100이면 left[x]를 parseInt를 통해 10진수로 변환해 +50을 해주어 왼쪽으로 이동시켜주는것 같습니다 cd==9..
2022.03.16 -
level15[old]
이번에는 level15에 대해 풀어보겠습니다 공부하는 입장이니 틀린것이 있더라도 양해부탁드리겠습니다 15번 문제는 눌렀더니 바로 접근이 거절됐다는 메시지가 뜹니다 처음에는 뭔가 싶어서 여러번 눌러도 동일하게 뜹니다. 소스코드도 못보고 뭐 어떻게 할 방법이 없네요 이것을 해결하기위해 javascript기능을 꺼주어야 되는데 구글링을 해보니 크롬에서도 이 기능이 있다고 합니다 설정에 들어가서 보안 및 개인정보 보호 -> 사이트 설정 자바스크립트 클릭 자바스크립트 허용[x] 클릭 그 후 다시 15번을 클릭하여 소스코드를 확인 할 수 있었습니다 왜 들어가지지 않나 봤더니 처음 Acees_Denied의 경고메시지가 출력되고 바로 최상위 위치로 가기 때문에 접근이 안된것 같습니다 테그인 링크와 관련된테그가 있으므로..
2022.03.15 -
level14[old]
이번시간에는 level14를 풀어보겠습니다 공부하는 입장이니 틀린 것 이있더라도 양해부탁드리겠습니다 level14는 javascript를 이용해서 풀어야됩니다 level17과 비슷한 창인거 같은데 이번에도 아무값이나 입력하고 check버튼을 눌렀더니 wrong이라는 메시지가 나오네요 페이지 소스코드를 확인해보았습니다 값을 입력하고 check버튼을 누르면 input타입 button에 ck함수가 호출됩니다 ck 함수를 보니 document.URL을 변수 ul에저장하고 indexOf로 ".kr"을 찾은다음 그 위치에다가 ul*30을 해주네요 ul 값이 입력한 pw.input_pwd_value랑 일치할 경우 패스워드를 출력하고 아니면 Wrong이라는 메시지를 보여줍니다 먼저 ul의 값을 알아야되므로 개발자도구를..
2022.03.15