본문 바로가기

WarGame & Conference

webhacking.kr 17번 문제 Webhacking.kr 17번 문제를 클릭하면 다음과 같은 페이지가 뜬다. 어떤 값을 입력해야 할지 모르겠으므로 소스보기로 소스를 분석해본다. unlock 값을 직접 계산하기 보다는 자바스크립트는 클라이언트 쪽에서 실행되기 때문에 자바스크립트를 사용해서 unlock 값을 볼수가 있다. 주소창에 javascript:alert(unlock) 치게되면 자바스크립트가 실행되어 alert 으로 unlock 값이 뜨게된다.!!!! (윗창은 제가 값을 지운겁니다 ㅎㅎ) 더보기
webhacking.kr 16번 문제 webhacking.kr 16번 문제를 클릭하면 다음과 같은 페이지가 뜬다. 어떤 값을 입력해야 할지 모르겠으므로 소스보기로 소스를 분석해본다. key 값을 해석하여 입력하면 문제가 풀릴것 같다. key 값뒤에 숫자는 URL 인코딩된값으로 (%252525252525...... 를 통해 유추할수 있다. 참고로 %25 = % 이다. 즉 252525가 상쇄되어 맨 뒤에 있는 숫자만 남는다. 즉, 첫번째껀 %61) 해당키값을 URL 디코딩해보면 답을 알수가 있다. 더보기
webhacking.kr 14번 문제 webhacking.kr 14번 문제를 클릭하면 다음과 같은 페이지가 뜬다. 어떤 값을 입력해야 할지 모르겠으므로 소스보기로 소스를 분석해본다. if(ul==pw.input_pwd.value) { alert("password is "+ul*pw.input_pwd.value); } ul 값과 입력값이 같으면 alert 으로 password is = ul값과 입력값을 곱한값 을 보여준다. ul값은 var ul=document.URL; ul=ul.indexOf(".kr"); ul=ul*30; 이것인데 document.URL 은 도메인을 뜻한다. (http://webhacking.kr) indexOf("값") 은 해당 문자열에서 값이 몇번째 위치인지를 반환한다. 즉, http ://webhacking.kr 문자.. 더보기
webhacking.kr 39번 문제 webhacking.kr 39번 문제를 클릭하면 다음과 같은 페이지가 뜬다. 아무글자나 입력해서 쿼리를 전송해보니까 Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /www/webhacking_kr/challenge/bonus/bonus-10/index.php on line 18 위와 같은 경고가 뜬다. mysql_fetch_array()를 호출할때 사용한 쿼리가 틀려서 18번째 라인에서 에러가 났다는 뜻이다. 소스보기로 왜 에러가 발생했는지 살펴보자. 오류에 대한 원인은 없고 다만, 라고 주석이 달려있다. 해당 주소로 이동해보자. (http://webhacking.kr/challenge/bonu.. 더보기
webhacking.kr(Oldzombie) 가입문제 웹해킹 문제를 풀어볼수 있는 사이트 중에 많은 분들이 알고 계시고 또 푸시는 http://webhacking.kr 사이트가 있다. 이 사이트에 가입하기 위해선 문제를 풀어야 되는데... 사이트에 가신후 join 을 누르시면 다음고 같은 화면이 보인다. member password 를 전송 하라는데 막막하다. 그래서 소스보기를 해본다.(우클릭 -> 소스보기) 소스를 분석해보면 사용자로 부터 값을 입력받은 후 그 값을 enco 라는 함수의 파라미터로 전달하여 인코딩한값과 pw = A2@]E^OI|p4^E|)OfOcm 와 비교한다. enco 함수를 살펴보면 var ttb = "!@#$%^&*()-_+[]{}';:,.|AbCdEfGhIjKlMnOpQrStUvWxYz0123456789acegkm"; 이구문과 ra.. 더보기