태군 코드 : Security, travel & communication

워게임 사이트 써니나타스 8번 문제를 풀어 보도록 하겠습니다. 문제의 해답을 보시기 전에 직접 풀어 보시기 바랍니다. 써니나타스 8번 문제를 보시면 위에 같은 화면이 보이실 겁니다. 힌트를 얻기위해 소스코를 한번 보도록 하겠습니다. 소스코드 보기를 하시면 아래쪽에 힌트가 있습니다. Login 'admin', Password 0~9999 이렇게 나와 있습니다. 이말은 ID는 admin 고정이고 Password는 0~9999 이중에 있다는것 같습니다. 브루트 포스(Brute Force) 공격을 하면 문제를 풀수 있을것 같네요. 그럼 버프스위트의 Intruder 기능을 이용해 보도록 하겠습니다. ■ Burp Suite(버프스위트) 메뉴 Intruder ID 값은 고정이므로 admin 을 입력하고 PW에 임의 ..

워게임 사이트 써니나타스 7번 문제를 풀어 보도록 하겠습니다. 문제의 해답을 보시기 전에 직접 풀어 보시기 바랍니다. 써니나타스 7번 문제 화면입니다. 처음접속을 하시면 사진이 나오고 중간으로 계속 내려가다 보시면 YES 라는 버튼이 있습니다. YES 버튼을 누르면 실패 너무 느려서 실패했다는 팝업창이 뜨는것을 확인할수 있습니다. 그럼 소스코드에 힌트가 있는지 보도록 하겠습니다. 힌트를 보면 빠르게라고 되어 있습니다. YES 버튼을 바르게 눌러야 한다는것 같네요. 그리고 소스 코드를 보시면 event.keyCode 가 있는데 이것은 우리가 사용하는 키보드의 번호를 Code로 나타내 호출 하는 것입니다. 간단하게 KEY CODE 값을 알아보도록 하겠습니다. 65 A 8 백스페이스 112 F1 66 B 9 ..

워게임 사이트 써니나타스 6번 문제를 풀어 보도록 하겠습니다. 문제의 해답을 보시기 전에 직접 풀어 보시기 바랍니다. 써니나타스 6번 문제의 화면입니다 1번 ~ 5번까지 글들이 있습니다. 일단 하나씩 들어가보도록 하겠습니다. 1번 Hint 들어가보시면 읽기 써니나타스 쓰기라는 글만 있고 별다른 내용은 없습니다. 2번 reference! 들어가보시면 URL주소가 하나 나옵니다. 사이트는 들어가보지 않았지만 사이트 주소만 봤을때는 디코딩, 인코딩 해주는 사이트 같습니다. 이기능도 필요할것 같아 저는 버프스위트를 켜놓도록 하겠습니다. ■ Burp Suite(버프스위트) 메뉴 Decoder 3번 README 들어가시면 팝업창이 하나뜨는데 밑에 보시면 SQL 구문이 있는것을 알수 있습니다. 다 살펴본뒤에 SQL ..

워게임 사이트 써니나타스 5번 문제를 풀어 보도록 하겠습니다. 문제의 해답을 보시기 전에 직접 풀어 보시기 바랍니다. 써니나타스 5번 문제는 위에 보시는 것 처럼 간단하게 Check 버튼 만 있습니다. 그럼 소스보기를 하여 문제의 힌트가 있는지 보도록 하겠습니다. 프로그램을 해보신 분들이라면 금방 눈치를 채셨겠지만 eval(function(p,a,c,k,e,r) 로 시작하는 부분이 보이실 겁니다. 자바스크립트로 난독화가 되어 있네요. 이렇게만 검색을해도 관련 내용이 많이 나옵니다. 모르시는 분들은 검색을 해서 알고 넘어가시기 바랍니다. 그럼 자바스크립트로 난독화가 되어 있는 것을 알았으니, 저기 보이는 난독화 해제사이트를 들어 가서 해제를 해보도록 하겠습니다. 난독화를 해제 하면 다음과 같은 코드로 변환..

워게임 사이트 써니나타스 4번 문제를 풀어 보도록 하겠습니다. 문제의 해답을 보시기 전에 직접 풀어 보시기 바랍니다. 써니나타스 4번 문제 화면입니다. 문제를 보시면 Point box 와 Plus 버튼이 있는것을 확인 할 수 있고 밑에 보시면 User-Agent 와 Auth key 라고 있습니다. 일단 저는 Plus 버튼을 마구 눌러 보았습니다. 계속 눌러 보니 25에서 멈추면서 아래 처럼 팝업창이 뜨는것을 확인할수 있었습니다.써니나타스 브라우저를 좋아한다고 써있네요. 일단 소스보기를 하면 뭐가 있을가 싶어서 소스보기를 하였더니 아래쪽 부분에 힌트가 있네요. (point를 50 까지 채우고 SuNiNaTaS 라고 써있습니다.) User-Agent : Browser와 운영체제에 대한 정보를 웹사이트에 알려..

워게임 사이트 써니나타스 문제를 풀어 보도록 하겠습니다. 문제의 해답을 보시기 전에 직접 풀어 보시기 바랍니다. 3번문제 화면입니다. 문제를 보시면 아무내용이 없이 그냥 Notice 게시판에 글을 써보라고만 되어 있습니다. NOTICE 화면은 아무리 찾아봐도 글쓰기라는 버튼이 보이지 않습니다. 보통 게시판, 공지사항 등 같은 페이지로 구성이 되기 때문에 다른 페이지들도 살펴 보도록 하겠습니다. 일단 Q&A 쪽을 보시면 글쓰는 버튼이 있네요. 그럼 또 다른 페이지를 한번 살펴 보도록 하겠습니다. PDS 페이지도 같은 형식은것 같으나 글쓰기라는 버튼은 Q&A 밖에 없네요. 여기서 눈치가 빠르신 분들은 이것 저것 살펴 보시면서 변경되는 공통점들을 찾으셨을 겁니다. 해당페이지의 URL을 보시면 NOTICE - ..

워게임 사이트 써니나타스 문제를 풀어 보도록 하겠습니다. 문제의 해답을 보시기 전에 직접 풀어 보시기 바랍니다. 문제를 보면 창은 간단하게 나옵니다. ID / PW 입력하여 성공하면 Authkey를 알려주는 것 같습니다. 그럼 아무거나 입력을 한번 해보도록 하겠습니다. ID / PW 값을 다르게 입력해보고, 똑같이 입력을 직접 해보시기 바랍니다. 그럼 해당 화면이 어떻게 입력을 했을때 나오는지 보실수 있으실 겁니다. 팝업창이 뜨는걸 확인을 했으니 해당페이지의 소스를 한번 보도록 하겠습니다.소스에 script 부분을 보시면 chk_form() 함수를 사용하여 id값과 pw값을 불러와 비교를 하는걸 보실수 있으십니다. if - 만약 id와 pw값이 같으면 alert 창을 띄워 "You can't join! ..

워게임 사이트 써니나타스 문제를 풀어 보도록 하겠습니다. 문제의 해답을 보시기 전에 직접 풀어 보시기 바랍니다. 써니나타스 주소 : http://suninatas.com/ 처음 홈페이지 접속 모습 입니다. 문제를 보시려면 CHALLENGE 를 클릭하시면 됩니다. 써니나타스(Suninatas) 1번 문제 프로그래밍을 하신분들이라면 조금 감이 오실겁니다. 해당페이지의 소스를 보면 asp 파일이라는 것을 알수 있습니다. 우선 해당 코드를 분석해 보기 전에 1번문제에 등장하는 함수를 살펴 보겠습니다. Replace 함수 - 해석을 해보면 치환 함수라는 것을 알수 있습니다. MID 함수 - 문자열 일부를 자르는 함수 예시 str = "HelloWorld" result = Replace(str, "Hello", "..