#웹#보안#정보보안#리눅스#언어#시스템#네트워크#프로그래밍#해킹#워게임
OverTheWire 문제풀이 - Natas* Bandit는 웹 보안 관련 문제입니다.* 개인적인 문제풀이로 해답을 보시기 전에 직접 풀어보시기를 권해드립니다.* 반드시 연습용으로 제공된 환경에서만 작업하시기 바랍니다. 악용으로 일어난 사태는 절대로 책임지지 않습니다.* [링크] Natas 바로가기 Natas level6Natas6에 접속하면 입력창이 뜬다. secret을 입력하라는데 아무거나 입력해보면 Wrong secret이라며 에러가 뜬다. 서버가 원하는 단어를 입력해야 인증이 될 것 같다. 현재 페이지의 소스를 보면 input 값을 form태그로 어딘가에 보내는 것을 확인할 수 있다. 친절하게도 소스에 해당 php코드가 있는 index-source.html 링크가 있다. php함수에서 $secre..
OverTheWire 문제풀이 - Natas* Bandit는 웹 보안 관련 문제입니다.* 개인적인 문제풀이로 해답을 보시기 전에 직접 풀어보시기를 권해드립니다.* 반드시 연습용으로 제공된 환경에서만 작업하시기 바랍니다. 악용으로 일어난 사태는 절대로 책임지지 않습니다.* [링크] Natas 바로가기 Natas level5Natas5에 접속하면 다음과 같은 문구가 뜬다. Access 할 수 없다고 뜨는데 로그인 하지 않았다고 한다. level4와 비슷한 문제인 것 같다. 프록시 서버로 설정한 후 버프슈트로 지나가는 패킷을 잡아보았다. Cookie 부분에 loggedin 이라는 변수가 의심스럽다. 원래는 0으로 설정되어 있는데 이것을 False라고 보면, 보통 참(True)의 의미로 쓰이는 1로 값을 바꾸어..
OverTheWire 문제풀이 - Natas* Bandit는 웹 보안 관련 문제입니다.* 개인적인 문제풀이로 해답을 보시기 전에 직접 풀어보시기를 권해드립니다.* 반드시 연습용으로 제공된 환경에서만 작업하시기 바랍니다. 악용으로 일어난 사태는 절대로 책임지지 않습니다.* [링크] Natas 바로가기 Natas level4Natas4에 접속하면 다음과 같은 문구가 뜬다. Access 할 수 없다고 뜨는데 승인이 되려면 http://natas5.natas.labs.overthewire.org/에서 접속을 해야 한다고 한다. 하지만 우리는 natas4이므로 인증할 수가 없다. 패킷을 조작해서 4가 아닌 5로 속임수를 걸어야 겠다. 패킷을 가로채서 조작할 수 있게 해주는 버프 슈트(Burp Suite)를 사용하..
Burp Suite[목적]웹 프록시 서버를 사용시 클라이언트와 서버간 통신을 주고 받을 때 전달되는 패킷을 중간에 가로채어 확인 및 조작할 수 있게 해주는 툴[주의 사항]해당 툴을 사용하여 악의적인 목적으로 이용 시에 발생되는 피해는 절대 책임지지 않음. 문제풀이 및 응용 테스트에만 사용하기를 권함. 프록시 서버[정의]클라이언트가 자신을 통해서 다른 네트워크 서비스에 간접적으로 접속할 수 있게 해 주는 컴퓨터나 응용 프로그램을 가리킨다. 서버와 클라이언트 사이에서 중계기로서 대리로 통신을 수행하는 기능을 가리켜 '프록시', 그 중계 기능을 하는 것을 프록시 서버라고 부른다.[서버 설정 방법]1) 크롬으로 진행 시, 크롬 오른쪽 상단에 점 3개로 되어 있는 메뉴 클릭, 설정에 들어간다. 2) 고급 설정 표..
OverTheWire 문제풀이 - Natas* Bandit는 웹 보안 관련 문제입니다.* 개인적인 문제풀이로 해답을 보시기 전에 직접 풀어보시기를 권해드립니다.* 반드시 연습용으로 제공된 환경에서만 작업하시기 바랍니다. 악용으로 일어난 사태는 절대로 책임지지 않습니다.* [링크] Natas 바로가기 Natas level3Natas3 화면에 이 페이지에는 아무것도 없다고 한다. 소스페이지를 열어보자. 주석으로 무언가 써놓은게 보인다.google을 언급하는 것을 보니 구글해킹을 시도해 볼 필요가 있겠다. site 를 현재 URL로 검색해보니 디렉토리 리스팅 취약점이 드러난다. 눌러보면 역시 다음 레벨에 대한 패스워드가 담겨있는 txt 파일을 획득할 수 있다. [링크] 구글 해킹이란?next level pas..