이미 아시는 분들은 그냥 넘어가주시거나 참고만 해주시면 감사하겠습니다 ○addslashes addslashes(string $string): string DBMS에서는 문자열을 저장할때 ' " \ NULL을 기준으로 문자열을 구분합니다. 하지만 위의 문자가 포함된 데이터를 가져올 때 예기치 못한 오류가 발생할 수 있습니다. 위를 방지하기 위해 데이터베이스 질의에서 처리할 필요가 있는 문자 앞에 백 슬래시[\]를 붙입니다. ex) $str = I'm a boy; $output = addslashes($str); -> I\'m a boy 위처럼 addslashes를 사용하면 I'm a boy의 ' 앞에 \을 붙여주어 문자열로 바꿔버려 쿼리문의 오류발생을 하지 않습니다. lost을 푸신분들 아시겠지만 adds..

webhacking을 풀면서 magic_quotes_gpc라는 개념이 나와서 간단하게 정리를 해볼까 합니다. 일단 magic_quotes_gpc은 phpini 파일에 위치하고 있고 magic_quotes_gpc의 기본값은 on으로 설정되어있습니다. magic_quotes_gpc은 익숙한 addslashes 함수처럼 get, cookie, post로 받아온 값들에 ' " \ NULL 이 있다면 자동으로 해당 문자 앞에 \ 을 붙여줍니다. webhacking이나 los 를 푸신분들이면 아시겠지만 magic_quotes_gpc 나 addslashes 함수를 우회하기 위해 애먹은적이 있었겠지요... cf) get_magic_quotes_gpc 을 on으로 설정한 후 문자열에서 addslashes 함수를 또 사용..

이번시간에는 level31을 풀어보겠습니다 공부하는 입장이니 틀린 것이 있더라도 양해부탁드립니다 level31은 포트포워딩에 관련된 내용이었습니다 포트포워딩에 관한 내용은 예전에 작성한게 있기 때문에 참고하시면 감사하겠고 여기서 간단하게 말씀드리면 NAT의 기능중에 하나로 컴퓨터들에게 특정한 포트를 개방시켜서 서로 통신이 가능하게 하는 기능입니다 level31 에 들어가 보니 Notice가 보이는 창이 뜨자마자 갑자기 밑에 있는 Warning 창으로 바뀝니다 한번 내용을 확인해 보겠습니다 $port = rand(10000, 10100); -> 값을 랜덤하게 얻는 rand함수를 통해 10000 - 10100 사이의 값 중에서 1개의 값을 port변수에 저장 아마 10000 - 10100의 포트값을 설정해 ..

이번시간에는 level61을 풀어보겠습니다 공부하는 입장이니 틀린것 이있더라도 양해부탁드리겠습니다 level61번에 들어가니 view-source 가 보입니다 소스코드부터 확인해 보겠습니다 $_GET[' id '] 가 없다면 guest를 $_GET[' id ']에 넣음 addslashes함수로 $_GET[' id ']를 필터링 pregmatch함수로 ( ) select from , by . 을 필터링 $_GET[' id ']의 길이가 15보가 크면 아웃 쿼리문에서 chall61테이블에서 입력값 $_GET[' id ']을 출력하는데 id를 내림차순으로 정렬한뒤 출력개수를 1개로 제한함 select {$_GET['id']} from chall61 order by id desc limit 1 $_GET[' i..

whereis -> 실행파일찾아줌 whereis ls /usr/bin/ls[ls위치] /usr/share/man/man1/ls.1.gz[man하면나오는 메뉴얼정보] $PATH [환경변수] -> 리눅스에서 자체적으로 생성한 변수. 물론 변수이름 변경가능함 만약 ls라고 입력하면 PATH변수에 담겨있는 디렉토리들을 검색해서 ls라는 실행파일이 존재하는지 차례대로 찾음 발견되면 그 명령어 실행함 vi editor로 파일을 작성중 다시 나가면 프로그램종료됨 종료되지 않고 잠시 나갔다 다시 돌아오려면 ctrl + z를 누르면 프로그램은 살아있음 다시 작성했던 곳으로 돌아감[forground] jobs는 현재 백그라운드에 있는 프로그램표시함 +는 fg를 누르면 background에 있다가 forground로 올라옴..

Wireshark는 네트워크 패킷을 분석할 수 있는 오픈 패킷 프로그램 사용법이 쉽고 직관적인 gui를 갖추고 있어서 해킹, 보안 취약점 분석등 여러 분야에서 폭 넓게 사용된다고 함 download link -> https://www.wireshark.org/#download Wireshark · Go Deep. What is SharkFest? SharkFest™, launched in 2008, is a series of annual educational conferences staged in various parts of the globe and focused on sharing knowledge, experience and best practices among the Wireshark® devel..