Web
-
[Web] HomeCTF write_up/Hack CTF 2019. 5. 22. 13:21
해당 사이트에 들어가면 다음과 같은 화면을 확인해 보겠습니다. 머리말이라는 힌트가 있기 때문에 Header라는 것을 알 수 있었습니다. Ip와 관련된 header는 X-Forwarded-For 입니다. curl 명령어를 이용해서 header를 추가해 줍니다. 페이로드 : curl -H "X-Forwarded-For: 127.0.0.1" -v http://ctf.j0n9hyun.xyz:2034/ Flag : HackCTF{U5u4lly_127.0.0.1_4ll0w5_y0u_t0_p4ss}
-
[Web] 마법봉CTF write_up/Hack CTF 2019. 4. 13. 23:01
사이트에 들어가 보겠습니다. 해쉬에 마법을 부여하면 어떤것도 뚫릴 지어니... 해쉬 관련문제 같습니다. 소스코드를 확인해 보겠습니다. 해당 문제는 php magic hash 문제인데 == 느슨한 비교 취약점 문제이다. 해당 문제에 대한 너무나도 많은 풀이를 작성했기 때문에 구체적인 설명은 생략하겠습니다. 240610708의 md5와 입력값의 sha1의 해시값이 같아야 하므로.. 해시 값이 0e로 시작하는 문자열을 찾아보겠습니다. Flag : HackCTF{magic_makes_everything_possible}
-
6. 악성컨텐츠 삽입 취약점웹 취약점 분석 2019. 4. 13. 00:08
악성컨텐츠 삽입 취약점이란? 코드 CS 점검항목 악성컨텐츠 개 요 웹 어플리케이션에서 사용자 입력 값에 대한 필터링이 제대로 이루어지지 않을 경우 공격자가 악성콘텐츠를 삽입할 수 있으며, 악성콘텐츠가 삽입된 페이지에 접속한 사용자는 악성코드 유포 사이트가 자동으로 호출되어 악성코드에 감염될 수 있는 취약점 악성콘텐츠는 SQL 인젝션, Cross Site Scripting, 파일 업로드를 통한 페이지 위변조 기법 등을 통해 삽입이 가능하므로 해당 취약점을 반드시 제거하여 악성콘텐츠 삽입이 불가능 하도록 조치가 필요함 공격자가 웹 서버 게시판에 악성 콘텐츠를 포함한 스크립트 등을 삽입한 후 사용자가 등록된 게시글 접근 시 악성코드가 자동으로 다운로드 및 실행이 되고 사용자 PC가 감염이 되는 취약점 위의 그..
-
5. 정보노출 취약점웹 취약점 분석 2019. 4. 13. 00:02
정보노출 취약점이란? 코드 IL 점검항목 정보노출 개요 웹 어플리케이션의 민감한 정보가 개발자의 부주의로 인해 노출되는 것으로 중요 정보(관리자 계정 및 테스트 계정 등)을 주석 구문에 포함시켜 의도하지 않게 정보가 노출되는 취약점. 또한 robots.txt 설정 상태 및 에러 페이지에 정보가 노출되는 경우가 있음. robots.txt 파일에 디렉토리 정보가 노출 되기도 합니다. 예시를 들어보자면 백악관의 홈페이지인 http://whitehouse.gov 에 /robots.txt를 입력하면 워드 프레스 관리자 페이지가 노출됩니다. 노출됬다고 해도 취약한 정보가 담겨져 있지는 않기 때문에 큰취약점은 아니지만 원래는 robots.txt 자체가 노출되어서는 안됩니다. robots.txt에 대해 이야기를 해보자..