ctf/Web Exploitation26 login 문제 풀어보기 웹사이트 로그인을 할 수 있냐는 문제였다. 사이트는 평범했다. 아무 값이나 입력해 보면 틀렸다는 alert창이 뜬다. 소스창을 분석해 보니 btoa, atob 메서드를 사용한다는 것과return 값에서 중요한 값들이 하드코딩 되어 있는 걸 알 수 있었다. btoa()는 문자열을 Base64로 인코딩 된 문자열을 만들어주고,atob()는 인코딩 된 문자열을 다시 디코딩해 주는 메서드라고 한다. https://developer.mozilla.org/en-US/docs/Web/API/Window/btoahttps://developer.mozilla.org/en-US/docs/Web/API/Window/atob return 줄은 "YWRtaW4"가 u가 아니라면 Incoreect Username.. 2025. 1. 31. It is my Birthday 문제 풀어보기 생일이라고 한다.축하! 사이트에 들어가 보니 초대장 파일이 2개가 필요하다고 알려주고 있었다.하지만 초대장을 받은 적이 없기 때문에 그냥 업로드해 봤다. PDF 파일이 필요하다고 알려준다. 그래서 대충 텍스트 파일 2개를 pdf로 바꿔서 업로드해 봤다. MD5 해쉬를 가져야만 하는 힌트를 준다. 이젠 아는 게 없기 때문에 검색을 많이 했다. 여기서 md5의 취약점을 알 수 있었다. (충돌 공격과 사전이미지)🔽 🔽 🔽 🔽 🔽더보기https://en.wikipedia.org/wiki/MD5 MD5 - WikipediaFrom Wikipedia, the free encyclopedia Message-digest hashing algorithm The MD5 message-diges.. 2025. 1. 25. Client-side-again 문제 풀어보기 client-side-again 문제를 풀어봤다.easy 난이도에 있던 don't-use-client-side와 비슷한 문제이지 않을까? 멋진 철조망 이미지로 된 사이트를 들어가서 verify 버튼을 누르면 이 경고창만 뜨게 된다. 소스 창을 살펴보니 script 쪽에 복잡하고 길쭉한 코드가 있었다. https://beautifier.io/자바스크립트를 보기 예쁘게 바꿔주는 사이트에 들어가 변환해 보면예전에 풀었던 don't-use-client-side 문제 풀어보기 와 비슷한 코드를 볼 수 있었다. 정확하게 어떤 코드인지 한 번에 볼 순 없었지만 주어진 배열 안의 flag 파편을 조합해 입력했다. 다행히 정답!다른 좋은 방법이 있지 않을까 2025. 1. 24. JaWT Scratchpad 문제 풀어보기 새로운 문제를 풀어봤다. 이름을 봤을 땐 익숙한 jwt토큰 문제가 아닐까 예상했다. 사이트를 요약해 보면 admin은 스페셜한 스크래치패드를 얻을 수 있고 일반 사용자는 john 같은 보편적인 아이디로 들어가 보라고 알려준다. 당연히 admin으로 들어가 보면 아무것도 얻을 수 없었다. John으로 들어가 보면 위 메시지와 함께 쿠키를 얻을 수 있었다. 이 부근에서 많이 헤맸다. 폭풍 구글링을 해서 받은 쿠키를 디코드 해서 정보를 얻어 값을 수정해 넣어봤지만 에러만 떴다. 디코드를 해봤던 사이트와 구글링 하며 단서를 얻은 링크▼더보기https://jwt.io/#debugger-io https://portswigger.net/web-security/jwt 그러다가 사이트에 j.. 2025. 1. 23. 이전 1 2 3 4 5 ··· 7 다음 728x90
