태군 코드 : Security, travel & communication

워게임 사이트 써니나타스 5번 문제를 풀어 보도록 하겠습니다. 문제의 해답을 보시기 전에 직접 풀어 보시기 바랍니다. 써니나타스 5번 문제는 위에 보시는 것 처럼 간단하게 Check 버튼 만 있습니다. 그럼 소스보기를 하여 문제의 힌트가 있는지 보도록 하겠습니다. 프로그램을 해보신 분들이라면 금방 눈치를 채셨겠지만 eval(function(p,a,c,k,e,r) 로 시작하는 부분이 보이실 겁니다. 자바스크립트로 난독화가 되어 있네요. 이렇게만 검색을해도 관련 내용이 많이 나옵니다. 모르시는 분들은 검색을 해서 알고 넘어가시기 바랍니다. 그럼 자바스크립트로 난독화가 되어 있는 것을 알았으니, 저기 보이는 난독화 해제사이트를 들어 가서 해제를 해보도록 하겠습니다. 난독화를 해제 하면 다음과 같은 코드로 변환..

워게임 사이트 써니나타스 4번 문제를 풀어 보도록 하겠습니다. 문제의 해답을 보시기 전에 직접 풀어 보시기 바랍니다. 써니나타스 4번 문제 화면입니다. 문제를 보시면 Point box 와 Plus 버튼이 있는것을 확인 할 수 있고 밑에 보시면 User-Agent 와 Auth key 라고 있습니다. 일단 저는 Plus 버튼을 마구 눌러 보았습니다. 계속 눌러 보니 25에서 멈추면서 아래 처럼 팝업창이 뜨는것을 확인할수 있었습니다.써니나타스 브라우저를 좋아한다고 써있네요. 일단 소스보기를 하면 뭐가 있을가 싶어서 소스보기를 하였더니 아래쪽 부분에 힌트가 있네요. (point를 50 까지 채우고 SuNiNaTaS 라고 써있습니다.) User-Agent : Browser와 운영체제에 대한 정보를 웹사이트에 알려..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. 테스트 사이트■ testphp.vulnweb.com 버프스위트 Intruder는 웹 애플리케이션을 대상으로 사용자 정의 공격을 할수 있는 자동화 도구입니다. 간단한 공격부터 복잡한 공격까지 다양한 공격 형태를 지원하는 기능 입니다. 이 기능은 보통 무차별 대입공격(Brute Force) 에 많이 사용이 됩니다. 버프스위트의 기능은 프록시가 설정이 되어 있어야 하므로 프록시가 정상적으로 동작을 하는지 확인하시기 바랍니다. ■ Burp Suite(버프스위트) Proxy 설정 방법 Intrude를 이용하여 공격을 수행할..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. 버프스위트 Scanner는 웹 애플리케이션에 존재하는 보안상의 취약점을 찾아주는 도구 입니다. 하지만 Scanner기능은 유료 버전에서만 제공하는 기능으로 무료버전에서는 아래 그림 처럼 Scanner 기능에 대한 이미지만 보여집니다. Scanner -> Issue definitions 탭에 가보시면 버프스위트의 Scanner 항목과 설명을 보실수 있으니 참고하시기 바랍니다. Scanner 사용방법은 다른 메뉴와 마찬가지로 Site map에서 스캔을 진행할수 있습니다. 여기서는 무료버전이기 때문에 활성화가 안되어 있..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. 저번에 포스팅 했던 버프스위트 Proxy 기능에 이어 이번에는 Spider 기능에 대해서 알아보도록 하겠습니다. 버프스위트의 Spider는 웹 페이지의 데이터를 추출하는 크롤링 이라고 생각하시면 됩니다. 크롤링이 궁금하시다면 인터넷 검색을 해보는것도 하나의 공부 방법이겠죠? Spider를 사용할때는 꼭 검증된 테스트 페이지를 대상으로 테스트를 하시기 바랍니다. 정상적인 웹페이지에서 테스트를 할경우 간혹 오작동을 시킬수 있는 일이 발생을 하기 때문에 꼭 이점 유의 하시기 바랍니다. 실습페이지 소개 (앞으로 포스팅을 ..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. 버프스위트를 실행하면 그림과 같이 상단에 여러가지 기능들이 나열되어 있는데 이 기능들에 대해서 살펴보도록 하겠습니다. Target먼저 버프스위트를 사용하시려면 프록시 서버를 설정하셔야 합니다. 모르시는 분들은 앞에 올려 놓은 글들을 참고해주시기 바랍니다. Target 탭은 애플리케이션의 정보들을 저장하고, 목록화하여 보여주며, Target 탭의 하위 항목은 Site map 과 Scope 항목으로 구성되어 있는데 먼저 Site map 를 알아보도록 하겠습니다. 1.1 Site map 버프 스위트를 실행한 후 특정 웹..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. Proxy는 버프스위트를 사용할때 기본으로 설정해야 하는 도구입니다. Proxy는 사용자 브라우저와 대상 응용프로그램 사이에서 웹 프록시 서버로 운영되며 그 중간에서 주고받는 패킷을 가로채거나 확인, 수정 등을 할 수 있습니다. Burp Suite 프록시 설정 Proxy -> Options 탭에서 프록시 설정을 할 수가 있습니다.Proxy License는 프록시 서버로 사용할 IP주소와 포트를 정해주는 부분입니다. 127.0.0.1(localhost)의 8080포트를 사용하였습니다. Burp Suite의 프록시 서..