호빵둥이 IT Blog

안녕하세요! 오늘은 워게임, Webhacking.kr Chellenge 9번 문제를 풀어보도록 하겠습니다. 이번문제는 SQL블라인드인젝션을 사용한 문제입니다. #문제 보기 우선 https://webhacking.kr/challenge/web-09/ 에 접속해보도록 하겠습니다. Challenge 9 webhacking.kr 각각 1, 2, 3을 눌러 들어가 보면, 이렇게 3가지 사이트를 볼 수 있습니다. no=3일 때 홈페이지를 통해, no 3 의 id를 구하면 될 것이라고 유추할 수 있습니다. #문제 분석 및 풀이 SQL 블라인드 인젝션을 하기 전에, 간단하게 SQL인젝션을 시도해보겠습니다. https://webhacking.kr/challenge/web-09/?no=3%27%20or%20%271%27=..

안녕하세요! 오늘은 워게임, Webhacking.kr Chellenge 8번 문제를 풀어보도록 하겠습니다. 이번 문제는 SQL 인젝션과 패킷 조작을 사용한 문제입니다. 패킷 조작은 며칠 전 포스트 올렸던 Burp Suite 프로그램을 사용하도록 하겠습니다. 링크 : [프로그래밍/프로그램 소개] - 해킹툴 Burp Suite 설치 및 간단한 사용법 알아보기 :: 호빵둥이 IT Blog 해킹툴 Burp Suite 설치 및 간단한 사용법 알아보기 :: 호빵둥이 IT Blog 허락받지 않은 해킹은 불법행위입니다. 본 포스트는 해당 프로그램의 사용법을 알려주는 것이며 법에 어긋나는 행위를 했을 경우 책임지지 않습니다. 안녕하세요! 이번에 Webhacking.kr 8번 문제를 h-bread.tistory.com #..

안녕하세요! 오늘은 워게임, Webhacking.kr Chellenge 7번 문제를 풀어보도록 하겠습니다. 이번 문제는 SQL 인젝션을 사용한 문제입니다. #문제 보기 https://webhacking.kr/challenge/web-07/index.php?val=1 Challenge 7 webhacking.kr 7번 문제에 먼저 접속해보도록 하겠습니다. 문제에 접속하면, Admin page라고 나옵니다. 한번 auth 버튼을 클릭해봅시다. 일단 바로 접속을 거부당했습니다. 그러면 view-seource를 통해 소스코드를 보고, 분석해보겠습니다. #소스코드 분석하기 https://webhacking.kr/challenge/web-07/?view_source=1 https://webhacking.kr/cha..

안녕하세요! 오늘은 워게임, Webhacking.kr Chellenge 5번 문제를 풀어보도록 하겠습니다. 이번 문제는 SQL 인젝션을 사용한 문제입니다. #문제 보기 바로 한번 https://webhacking.kr/challenge/web-05/로 접속해보도록 하겠습니다. Challenge 5 webhacking.kr 사이트에 접속하면 다음과 같이 Login, Join 버튼만 놓여있습니다. 무언가 회원가입을 하고 로그인해야 하는 것으로 유추해봅시다. 먼저 Join부터 눌러보도록 하겠습니다. 바로 접속을 거부당했습니다. 이번에는 한번 소스코드를 볼까요? 마우스 우클릭을 한 다음에 [페이지 소스보기] 또는 [Ctrl + U]를 통해 소스코드를 볼 수 있습니다. 1 2 3 4 5 6 7 8 9 10 11 ..

안녕하세요! 오늘은 워게임, Webhacking.kr Challenge 3번 문제를 풀어보도록 하겠습니다. 이번 문제는 SQL 인젝션을 사용한 문제입니다. 먼저 시작하기 전에 아주 간단하게 SQL 인젝션이 무엇인지 알아보도록 하겠습니다. #SQL 인젝션 SQL 인젝션은 이름이 가지고 있는 뜻 그대로, SQL 코드를 인젝션, 삽입하여 보안 오류를 일으키는 것을 말합니다. 대부분 DB의 경우 사용자로부터 데이터를 입력받고, 그 데이터를 SQL에 명령문 형태로 삽입합니다. 예를 들어, INSERT INTO{테이블} VALUES {값} 이런식으로 말이죠. 하지만, 이를 악용하면 SQL문을 우회할 수 있습니다. SELECT user FROM user_table WHERE id='아이디' AND password='..