본문 바로가기

디룡

Popular Posts

Recent Comments

Link

Calendar

Visits

Today

Yesterday

Webhacking

[Web] Dreamhack_ file-download-1 https://dreamhack.io/wargame/challenges/37/ file-download-1 File Download 취약점이 존재하는 웹 서비스입니다. flag.py를 다운로드 받으면 플래그를 획득할 수 있습니다. Reference Introduction of Webhacking dreamhack.io Flag.py를 다운로드 받으면 flag를 얻을 수 있다고 한다. 먼저 접속해보면 아래와 같이 memo를 업로드할 수 있는 환경이 주어진다. 문제에서 주어진 코드를 살펴보자! 조금 길어서 나눠서 보면 일단 지금 디렉터리는 uploads이고 Upload_memo 함수를 보면 filename과 content를 입력받아서 각각 filename과 content 변수에 넣어준다! 그런데 아래의 fi.. Webhacking/Dreamhack 2022. 8. 27.

[Web] Dreamhack STAGE 8 https://dreamhack.io/lecture/roadmaps/1 Web Hacking 웹 해킹을 공부하기 위한 로드맵입니다. dreamhack.io [ Web STAGE 8: File Vulnerability ] [ File Upload Vulnerability ] : 공격자의 파일을 웹 서비스의 파일 시스템에 업로드하는 과정에서 발생하는 보안 취약점 : 파일 시스템 상 임의 경로에 원하는 파일을 업로드하거나 악성 확장자를 갖는 파일을 업로드할 수 있을 때 발생 : 원하는 시스템 커맨드를 실행하는 원격 코드 실행 취약점 유발 가능 : 이용자가 업로드될 파일의 이름을 임의로 정할 수 있을 때 발생 : 파일 이름에 이용자가 입력한 문자열을 그대로 사용하거나, 이용자의 이메일, 닉네임 등을 포함시키는 .. Webhacking/개념 2022. 8. 27.

[Web] Dreamhack_ command-injection-1 https://dreamhack.io/wargame/challenges/44/ command-injection-1 특정 Host에 ping 패킷을 보내는 서비스입니다. Command Injection을 통해 플래그를 획득하세요. 플래그는 flag.py에 있습니다. Reference Introduction of Webhacking dreamhack.io 페이지에 접속해보니 ping이라는 페이지가 있어서 들어가 보았다! 문제에서 flag.py에 flag가 있다고 했으니까 일단 ls로 확인해보자! 이렇게 입력해봤더니 요청한 형식이 아니라고 하는데, 아마 필터링이 되어 있는 것 같았다. 개발자도구를 열어서 보니까 pattern 함수로 필터링이 되어있었다. 이 부분을 수정해주고 다시 똑같이 입력값을 줘보았다! (.. Webhacking/Dreamhack 2022. 8. 27.

[Web] Dreamhack STAGE 7 https://dreamhack.io/lecture/roadmaps/1 Web Hacking 웹 해킹을 공부하기 위한 로드맵입니다. dreamhack.io [ Web STAGE 7: Command Injection ] * 각 언어별 시스템 함수 - PHP: system - Node JS: child_process - 파이썬: os.system * Command Injection - 이용자의 입력을 시스템 명령어로 실행하게 하는 취약점 - 명령어를 실행하는 함수에 이용자가 임의의 인자를 전달할 수 있을 때 발생 - 시스템 함수는 셸 프로그램에 명령어를 전달하여 실행하는데, 셸 프로그램은 다양한 메타 문자를 지원함 - 아래의 메타문자에서 &&, ;, | 등을 사용하면 여러 개의 명령어를 연속으로 실행시킬 수.. Webhacking/개념 2022. 8. 27.

[Web] Dreamhack STAGE 6 https://dreamhack.io/lecture/roadmaps/3 Cryptography 암호학을 공부하기 위한 로드맵입니다. dreamhack.io [ web stage 6: 전자서명 ] * 서론 - 전자 서명(digital signature)은 서명의 특징을 암호학적으로 구현한 것 - 전자서명은 공개키 암호와 함께 만들어짐 - 공개키 알고리즘에서의 개인키로 서명을 생성하고, 공개키로 그 서명에 대한 검증 진행 이때, 서명을 생성하는 개인키는 서명키(signing key) / 검증에 사용되는 공개키는 검증키(verification key) - 주로 메시지의 무결성과 부인 방지를 위해 사용됨 * 기본원리 1. 서명과 검증 - 공개키 암호에서의 공개키, 개인키와 유사하게 전자 서명에서 사용하는 검증키.. Webhacking/개념 2022. 8. 27.

이전 1 2 3 4 5 다음

티스토리툴바