반응형 워게임/natas21 [natas - WEB hacking] level3 -> level4 [natas - WEB hacking] level3 -> level4 패킷 데이터 변조 - proxy tool: paros, webscrab, burp suite, ... - 프록시 서버가 아닌 소프트웨어 - 프록시 서버의 기능을 소프트웨어적으로 구현 ! proxy: 중계자 burpsuite를 이용해서 level3 -> level4 문제를 푸는 방법도 있다.Intercept 기능을 이용해서 패킷을 잡아둘수 있다. [ 풀이과정 ] 페이지에 로그인하니 접근 권한이 없다고 나오면서 "http://natas5.natas.labs.overthewire.org/"에서 접속을 하라고 한다..아직 natas4도 풀지 않았는데 natas5를 갔다오라니... 생각을 해보다가 http 헤더에 referer 헤더가 생각이 났.. 2017. 9. 25. [natas - WEB hacking] level2 -> level3 [natas - WEB hacking] level2 -> level3 [ 풀이과정 ] 이번에도 페이지에 접속했더니 이전 level과 같이 'There is nothing on this page'라는 문구가 보인다.. 소스보기를 해보니 라고 써있고구글 번역기에 돌려보니 정보누설이 되지 않아서 구글에서도 찾지 못할꺼라고 적혀있다.그 외에 별다른 내용은 없어보인다... 이것저것 시도해보다가 robots라는 내용을 찾아서 혹시나 싶어서 url 주소창에 robots.txt를 입력해봤다.robots.txt는 검색엔진에서 보내는 로봇들에게 특정 페이지의 내용에 대해서 접근을 허용하거나 허용하지 않는로봇에 대한 설정파일이다.. 여기서는 robots.txt에 대한 내용만 알고 있었다면 빠르게 풀어낼수 있었던 문제일꺼 같.. 2017. 9. 25. [natas - WEB hacking] level1 -> level2 [natas - WEB hacking] level1 -> level2 [ 풀이과정 ] 로그인하게 되면 페이지가 뜨는데 'There is nothing on this page'라는 문구를 가진 페이지가 보인다.이 페이지에는 아무것도 없다는 뜻인데 페이지 소스를 보니 비밀번호가 될만한것은 안보인다... 다시 자세히보니라고 이미지 태그에 pixel.png라는 이미지가 있어서눌러보니 아주 작은 픽셀 이미지가 하나 있었다. 처음에는 파일 시그니처를 이용해서 찾아야하나 싶었는데 그게 아니였다..디렉토리 취약점을 이용해서 해당 이미지가 들어있는 상위 디렉토리인 files 디렉토리에 접근해보니 user.txt라는 텍스트파일을 하나 발견했고 그 안에 들어가보니 다음 level로 가는 natas3의 비밀번호가 적혀있었다... 2017. 9. 25. [natas - WEB hacking] level0 -> level1 [natas - WEB hacking] level0 -> level1 [ 풀이과정 ] 주어진 비밀번호를 가지고 들어가서 페이지 소스 보기를 하려고 했더니 오른쪽 마우스가 막혀있다.( 들어가자마자 해당 페이지에 써있는 문구도 오른쪽 클릭을 막아놨다는 얘기이다.. ) 그렇다면 다른 방법으로 페이지 소스를 봐야하는데 구글 크롬을 이용한다면 f12를 눌러 개발자 도구에 들어가페이지 소스를 볼 수가 있고 들어가게되면 level2로 가는 비밀번호가 보인다..혹은 url 주소창 주소 앞에 직접 view-source:를 입력해서 들어가는 방법도 있다. level0 -> level1 클리어~~~~~~ 2017. 9. 25. [natas - WEB hacking] level0 [natas - WEB hacking] level0 [ 풀이과정 ] level0은 아이디와 패스워드를 알려주고 해당 페이지로 들어가면 level1로 가는 비밀번호를 찾을 수 있다.주어지는 아이디와 비밀번호를 입력하고 페이지 소스보기를 통해 확인하면 html 주석으로 level1로 가는 비밀번호를 알 수 있다. level0 클리어~~ 2017. 9. 25. 이전 1 2 3 다음
