'll Hacker

코드 분석 일단 여기서 힌트를 얻을 수 있는 것은 정규표현식을 사용하여 이메일 주소 패턴이 매칭이 된다면 해당 이메일 주소와 플래그 값을 화면에 출력해준다고 구현되어있다.(feat. chatgpt) 그렇다면 패턴은 어떻게 되는 것인가? 여기서 뭔지 모르겠어서 쥐피티한테 물어봤다 (쥐피티없었으면 어쩔뻔;;) 그래서 패턴에 맞게 임의로 dr12_a5e3am@naver.com을 입력했더니!!! 플래그를 얻을 수 있었다.

코드 분석 세 가지 엔드포인트로 나눠서 분석 -> /, /file, /admin 첫 번째 코드 부분 -> 그냥 홈화면 같다. 힌트없음 /file에서 HTTP GET 요청에 대한 쿼리 문자열에서 path값인 해당 경로의 파일을 열어서 내용을 화면에 출력하는 코드이다. Path traversal 의도한 문제인 것 같음. 여기서 쿼리문자열(쿼리스트링)이란? 사용자가 입력 데이터를 전달하는 방법으로 url 주소에 어떤 데이터를 파라미터를 통해 서버측에 전달하는 것 정해진 엔드포인트 주소 이후에 ?(물음표)룰 쓰는 것으로 쿼리스트링이 시작 parameter = value로 필요한 파라미터의 값 파라미터가 여러개일 경우 &를 붙힌다. /admin에서 @key_required는 무엇인가? 물어보면 코드 맨 위에 나와..

https://dreamhack.io/wargame/challenges/850 Flying Chars Description 날아다니는 글자들을 멈춰서 전체 문자열을 알아내세요! 플래그 형식은 DH{전체 문자열} 입니다. ❗첨부파일을 제공하지 않는 문제입니다. ❗플래그에 포함된 알파벳 중 x, s, o는 모두 dreamhack.io 처음에 보고 당황쓰..;;;; 하지만 개발자 도구 눌르면 날라다니는 글자 이미지가 있는 것을 알 수 있어서 마우스 갔다대면 뭔지 알 수 있음 이번껀 쉬웠다

https://dreamhack.io/wargame/challenges/873 phpreg Description php로 작성된 페이지입니다. 알맞은 Nickname과 Password를 입력하면 Step 2로 넘어갈 수 있습니다. Step 2에서 system() 함수를 이용하여 플래그를 획득하세요. 플래그는 ../dream/flag.txt에 위치합니 dreamhack.io 문제 접근 코드 분석 솔직히 index.php는 힌트를 얻을만한게 없어서 step2.php를 분석하였다. step1은 알맞은 닉네임과 비밀번호를 입력하게 되면 step2로 넘어가는 방식이다. 이 부분에서 알 수 있듯이 정규표현식을 이용아혀 필터링을 사용하고 있다. 문제를 풀기 위해 필터링을 우회해야만 한다. 내가 생각하기엔 dnyang..

잠시만녀,, 들어가기 전에 공격하는 방법을 티스토리에 올리는데 약속하지 않은 사이트에 적용하거나 불법적인 행위는 본인이 책임지세요~! ㅎㅎ 난 아무 잘못 없음 :( 보기 전에 정보윤리의식 공부하고 들어가세요,,,,, 근데 별루 내용없음 ㅎ 1) 취약점 파악 path traversal -> 특정 디렉터리만 업로드할 수 있는 경우 발생, 악성 파일 업로드 -> path traversal 아니면 이 경우일 듯! 2) 코드 분석 -> 우회 가능성 보기! 참고: https://successing.tistory.com/14 dreamhack - file vulnerability (취약점 막는 방법, 우회공격) successing.tistory.com 3) 우회 공격

다 외워야됨.....? ㅠㅠ