분류 전체보기
-
안드로이드 모바일앱 모의해킹 - 1 - 인시큐어뱅크 설치편리버싱/모바일 2023. 3. 30. 15:15
주로 웹해킹을 했고 리버싱은 살짝 맛만 본 수준인데(나머지는 모름) 모바일 취약점에 평소에 관심이 많았고. 재밋을거 같아서 해보기로 했다 주로 알려진 탐정그려진 아저씨책 맞다 책이 상~당히 오래되었는데(2017년 출판) 한국어로 된 책중에 그나마 볼 게 이거밖에없는거 같아서 이걸로 하기로했다 책에 설치 과정이 잘 설명되있다고 하는데 책에있는 그대로 설치하면 제대로 되는 꼴을 본적이없다 안드로이드 스튜디오 설치와 nox 설치 인시큐어뱅크 설치는 가이드 대로 따라가면 된다 책에 파이썬 라이브러리들을 설치하려면 뭐가 자꾸 안대는 오류들 syntax error no module named 등 개열받는 상황들이 생긴다 전에 책샀다가 설치 과정에서 화나서 그냥 그대로 방구석에 박아놨는데 이번에 다시 제대로 해보자해..
-
Challenge 27웹해킹/Webhacking.kr 2023. 3. 27. 22:35
sql 인젝션 문제 admin으로 쿼리를 성공시키면된다 맨 첫번째 부터 #, select, 괄호(, limit, 공백, 0x 를 필터링 한다(맞는지는 나도 모름) 밑에는 쿼리를 해주는데 주의할점은 입력창에 쓴값은 id가 아니라 뒤에 no값으로 들어간다는 점 앞의 쿼리가 실패하면 뒤의 쿼리 에러문이 출력된다 admin의 no는 2라고 알려줌 1을쳐봣더니 guest 가 나왔다 그럼 이제 admin으로 쿼리를 성공시켜야하는데 쿼리문이 select id from chall27 where id='guest' and select id from chall27 where id='guest' and no=({$_GET['no']}) 이렇게 있다. 자세히보면 no를 넣는 부분을보면 괄호로 쌓여있다 예를들어서 no에 1을 ..
-
web/uuid hellCTF/LA CTF 2023 2023. 2. 14. 01:45
UUIDs are the best! I love them (if you couldn't tell)! UUID를 다루는 문제, UUID란 소프트웨어 구축에 쓰이는 식별자 표준으로 어떤 규칙으로 생성되는 값인데 서로 겹칠 확률이 매우매우매우 적다고 한다(그냥 고유한 UID라고 보면된다) 주어진 사이트에 들어가보면 여러가지 값들이 있고 UUID들이 있다. 나한테 주어진 고유 ID febdbf90-abb2-11ed-aa64-67696e6b6f69가 있고 쿠키값에도 적재되어 있다. 사이트는 이쯤보고(소스는 볼거없다) 같이 제공된 ZIP 파일내의 파일들을 보면 Docker 파일 플래그값은 FLAG 환경변수에 있음을 알 수있다. 그리고 제일 중요한 server.js 파일을 위에서부터 차례차례보면 randomUUID함..
-
web/metaverseCTF/LA CTF 2023 2023. 2. 14. 00:22
Metaenter the metaverse and metapost about metathings. All you have to metado is metaregister for a metaaccount and you're good to metago.You can metause our fancy new metaadmin metabot to get the admin to metaview your metapost! 사이트는 2개가 주어지는데 하나는 로그인 및 가입, 아이디와 비밀번호로 로그인을하고 내 닉네임을 설정할 수 있다(admin의 닉네임이 플래그값임) 로그인 했을 때 모습, 친구추가 기능이있고 글을 쓸 수 있는 기능이있다. 특이한건 친구추가 기능이 일방적인(?) 친구 기능이라는건데 내가 A로 로그인하고 ..
-
misc/EBECTF/LA CTF 2023 2023. 2. 13. 23:40
I was trying to send a flag to my friend over UDP, one character at a time, but it got corrupted! I think someone else was messing around with me and sent extra bytes, though it seems like they actually abided by RFC 3514 for once. Can you get the flag? 내용을 정리해보면 이렇다, UDP로 한글자씩 데이터를 보냈는데 누가 다른 것까지 보냇다고 막 머라머라 주저리대는데 쉽게 말해서 많은 패킷들중 플래그값만 들어있는걸 걸러내야하는 문제다 EBE.pcap 파일을 주는데 pcap파일이란 패킷캡쳐란 뜻인데, 나는 주고..
-
misc/CATS!CTF/LA CTF 2023 2023. 2. 13. 23:16
CATS OMG I CAN'T BELIEVE HOW MANY CATS ARE IN THIS IMAGE I NEED TO VISIT CAN YOU FIGURE OUT THE NAME OF THIS CAT HEAVEN? Answer is the domain of the website for this location. For example, if the answer was ucla, the flag would be lactf{ucla.edu}. 사진을 찍은 위치를 찾아야하는 문제, 힌트는 업로드되있는 사진인데 고양이들이 엄청많다. 이름이 써진 집들이있어서 하나하나 있는대로 구글에 검색해봤는데 안나온다. 그래서 구글에 사진을 찍은 장소를 찾는법을 쳐봤는데. 핸드폰으로 사진을 찍으면 사진에 위도와 경도 정보가 들..