web46 [HackCTF] (Web) 가위바위보 풀이 가위바위보페이지이다. 가위바위보를 아무리해도 점수같은것도 나오지않는다. 오른쪽위에 이름과 사진을 변경할 수 있는 페이지가있어서 이름을 help로 변경해봤다. 페이지가 php 여서 소스를 한번 봤다. HackCTFArena helpme 설정 프로필 사진이 변경되었습니다. 이름 진짜 이름을 변경하실 건가요? 현재 이름: helpme 새 이름: 프로필 이미지 /avatars 디렉토리 밑에사용자이미지가 있는 /helpme 가있다. 들어가보면 helpme 파일이 다운받아진다. php 파일을 올려 웹쉘을 실행시켜보자 확장자만 .php 로 바꿔서 올려도 잘 올라가는거 보니, 확장자 말고, 파일포맷을 확인하는 것 같다. 정상적인 JPG 파일포맷 뒤에 웹쉘을 작성하고 업로드해봤다 이제 php 파일에 접근하면되는데, 접근.. 2020. 3. 16. [HackCTF] (Web) Home 풀이 ....... 블로그작성중 프록시를 안꺼서 새로고침이 되버려서 조금 모자란 부분이 있을 수 있습니다. 내 아이피를 필터링한다. 그렇다면 ip를 루프백아이피로 조작하면 풀릴것 같다. [ 루프백 아이피 ] 루프백 아이피 : 127.0.0.1 자신의컴퓨터를 의미하는 가상주소이다. [ Ping ] 자신의 컴퓨터에 패킷을 보내기때문에 정상적으로 동작한다. 로컬컴퓨터를 원격컴퓨터처럼 이용할수 있기때문에 네트워크테스트 용도로 사용된다. (참고) https://m.blog.naver.com/PostView.nhn?blogId=dktmrorl&logNo=220293911717&proxyReferer=https%3A%2F%2Fwww.google.com%2F [IT상식] Loopback IP(127.0.0.1) "루프백 아.. 2020. 3. 13. [HackCTF] (Web) Input Check 풀이 문제접속화면이다. flag 명령어를 입력하라 한다. 입력했다. ;;; 아무거나쳐도 이렇게나오니 소스를 봐야겠다. Input Check Do you want a flag? Input Command "flag" here OK get 으로 text를 입력받고있고, Input Command Check 는 배열이라고한다. strcmp 로 비교하는걸 추측할 수 있다! $a=get['text'] if(strcmp("flag",$a)==0) 다음과 같은 예시코드를 작성해봤다. strcmp에서 문자열과 배열을 비교시 NULL을 반환한다. NULL == 0 으로 느슨한 비교를할떄 True 가 반환된다. 따라서 우리는 ?text[0]=flag 로 값을 넘겨줌으로써 FLAG 를 확인할 수 있다 2020. 3. 13. [HackCTF] (Web) Time 풀이 접속하면 나타나는 코드다. Time값을 가져와 숫자인지 검사 후, 5184000~7776000 사이에있는지 검사한다. 그리고 time값 만큼 sleep 한 뒤 flag를 출력해준다. 5184000초면 약 2달이란 시간인데, 그만큼 기다릴 수 없으니 다른 방법을 찾자. 2020/03/09 - [Wargame Write-Up/HackCTF] - [HackCTF] (Web) 마법봉 풀이 [HackCTF] (Web) 마법봉 풀이 문제접속하면, 삐애로가 마법봉을 꺼내려하는사진이있고, 소스코드보기가 있다. 소스코드를 보면 md5("240610708") 값과 sha1("input") 값이 같을때 flag를 출력해준다. 0e4620~~(숫자) 형식을 취하고있다. (참.. snwo.tistory.com 저번에 나온 ph.. 2020. 3. 10. 이전 1 ··· 4 5 6 7 8 9 10 ··· 12 다음
