본문 바로가기
반응형

워게임/wechall5

[wechall challenge] PHP 0817 [wechall challenge] PHP 0817 - Explanation - 코드 위에 나와있는 설명을 보게 되면 LFI 취약점이 있다고 적혀있다. LFI(Local File Inclusion) 취약점은 공격대상 서버에 위치한 파일을 포함 시킬때 사용한다. PHP의 경우 Include, require_once, ... 같은 함수를 사용하면서 입력 값을 필터링 하지 않을때 이러한 취약점이 나타나게 된다. 해당 코드를 보게 되면 isset() 함수를 이용해서 GET방식을 통해서 which라는 파라미터가 있는지 확인을 하고 있고, 해당 파라미터가 존재 한다면 if 문이 실행 되도록 되어있다. if문 안쪽을 살펴보게 되면 which 파라미터에 값을 $which 변수에 저장해서 switch문을 실행 한다. s.. 2019. 7. 10.
[wechall challenge] Training: WWW-robots [wechall challenge] Training: WWW-robots - Explanation - WWW-Robots 문제에서는 robots.txt 파일에서 왜 취약점이 일어날 수 있는지를 알려주려고 하는 문제인 것 같다. robots.txt 파일은 웹사이트에서 웹 크롤러와 같은 로봇들의 접근을 제어하기 위한 규약 파일이다. 보통 웹사이트들이 많은 노출을 원하기 때문에 따로 robots.txt 파일을 이용해서 접근을 막을 일이 없지만, 서버의 트래픽이 한정 됐거나 검색엔진에 노출을 원하지 않는 경우 사용한다. robots.txt는 웹사이트의 최상이 경로인 루트 경로에 있기 때문에 사이트명 뒤에 /robots.txt를 입력하게 되면 해당 파일에 접근이 가능하다. 이러한 이유 때문에 해당 파일에 적힌 디.. 2019. 7. 9.
[wechall challenge] Training: Crypto - Caesar 1 [wechall challenge] Training: Crypto - Caesar 1 - Explanation - Crypto - Caesar Ⅰ는 위 글을 해석해 보면 암호학에서 가장 기본이 되는 Caesar Cipher에 대한 개념을 알려주는 문제인 것 같다. Caesar Cipher는 암호학에서 가장 기본으로 다루는 암호로 key 값 만큼 해당 문자를 왼쪽 혹은 오른쪽으로 쉬프트 해서 암호문을 만든다. 위 글에 Wiki 링크가 있는데 클릭해 보면 Caesar Cipher에 대한 내용을 자세하게 볼 수 있고 아래와 같이 하나의 예시를 그림으로 표현해놨다. 이 문제에서는 우리는 Caesar Cipher에 대한 key 값을 모르기 때문에 모든 key 값에 대해서 다 구해봐야한다. 이러한 작업은 수동으로 .. 2019. 7. 8.
[wechall challenge] Training: Stegano 1 [wechall challenge] Training: Stegano 1 - Explanation - 이 문제는 Steganography에 대한 문제이다. Steganography란 사진 속에 텍스트나 파일 같은 정보를 숨기려고 할 때 사용이 되며, 데이터 은폐 기술 중 하나이다. 알고리즘을 이용해서 상대방이 이해할 수 없는 메시지를 작성해 그 안에 비밀을 숨겨놓는 암호화와는 비슷해 보이지만 전혀 다르다. 위에 적힌 말을 보면 기본적인 image를 활용한 stegano라고 적혀져있다. 이 문제는 Steganography가 무엇이냐에 대한 개념만 가지고 있다면 쉽게 해결 할 수 있는 문제로 보인다. 개념만 알고 있으면 쉽게 풀 수 있는 문제이기 때문에 푸는 방법을 간단하게 3개의 순서로 나열하면 아래와 같다.. 2019. 7. 7.
[wechall challenge] Training: Get Sourced [wechall challenge] Training: Get Sourced - Explanation - 위에 적혀있는 말을 해석하면 해결 방법은 이 페이지에 숨겨져 있고, 소스코드 보기를 이용해서 답을 얻을 수 있다고 나와있다. 말 그대로 해당 페이지에 대한 페이지 소스 보기를 이용해서 코드를 확인해서 문제를 풀으라는 것 같다. 페이지 소스 보기를 통해서 보면 html 소스들이 보이게 되고, 이 안에 문제를 풀 수 있는 답이 있을 것이다. 코드를 전체적으로 훓어보던 중에 밑쪽에 HTML 주석으로 라고 적혀져 있고 스크롤이 밑쪽으로 많이 남아있는데 뭔가 수상해 보인다. 다른 단서가 있는지 찾아보기 위해 스크롤을 밑으로 쭉 내려보니 의외로 쉽게 답을 찾을 수 있었다. HTML 주석 안에는 문제를 풀 수 있을.. 2019. 7. 6.

티스토리툴바