HACKDUN

SCP 동아리에서 학과 행사로 주최한 CTF로 초보자들을 위한 난이도입니다. 제가 출제했던 WEB 문제들의 출제 의도와 write-up입니다. 링크 : http://jbuctf.online/ JBU CTF jbuctf.online 문제 이름 : phpDB 출제 의도 코드를 보고 설정되어 있는 제한을 변경할 수 있는지 확인 PHP는 대소문자를 구분하지만, mysql은 대소문자를 구분하지 않음에서 발생할 수 있는 취약점을 알고 있는지 확인 문제 풀이 패스워드는 password123이라고 주어져 있다. 우리는 입력창에 password123이라고 입력만 하면 된다. 그래서 공개되어 있는대로 password123을 입력하려하면 패스워드가 5자리 이상은 입력되지 않는다. 코드를 확인해보면, maxlength가 5로..

새로운 App 생성 1. 현재 프로젝트 폴더로 이동 > cd node2019 2. >ng new angular-src (새로운 앱 생성 명령) ? Angular routing? Yes (라우팅 기능 사용 여부) ? Stylesheet format? SCSS (스타일시트 사용 방식 지정) -> angular-src라는 이름으로 새로운 앱 생성 성공! -> 각종 패키지/파일들이 자동 설치가 됨 angular-src/node_modules 폴더에 패키지 설치 src/app 폴더에 주요 소스파일이 존재함 App 실행 1. App 폴더로 이동 > cd angular-src 2. App 실행 (node.js 실행되어 있어야 함) > ng serve -o 3. 브라우저로 확인 주소 : http://localhost:..

LFI : Local File Inclusion → 공격 대상 서버에 위치한 파일을 포함시켜 읽어오는 공격 RFI : Remote File Inclusion → 공격자가 악성 스크립트를 서버에 전달하여 해당 페이지를 통하여 악성 코드가 실행되도록 하는 것 LFI와 RFI의 차이점 ? → LFI는 파일을 포함시킬 때, 해당 파일이 공격대상 서버에 위치하지만 RFI는 공격대상 서버 밖에 위치함

디렉토리 노출 취약점이 궁금하다면 ? https://duni0107-day.tistory.com/80?category=692193 디렉토리 노출 취약점 디렉토리 노출 취약점이란? → WAS의 환경 설정 미흡으로 웹 디렉토리 호출 시 해당 WAS의 디렉토리 목록이 외부에 노출되는 취약점 해킹된다면? → 브라우징하는 모든 파일을 보여줌 → 백업파일 및.. duni0107-day.tistory.com 파일 다운로드 취약점을 공부하던 중 파일명을 알아야만 다운로드를 할 수 있다는 한계점을 느끼고 '어떻게하면 파일명을 알 수 있나??' 고민을 하게되었고 그래서!!! 이번 주제는 디렉토리 노출 취약점으로 준비했다. ㅎㅎ Directory Listing에 대한 설명은 위의 링크에 걸어뒀으니 참고하시길 ㅎㅎ! 바로 실..

실습 페이지 실습 페이지 BOARD LOGOUT