webhacking3 [Overthewire.org_natas] level 7 - level 8 (natas9 password) natas8 페이지를 들어가 보면, 이렇게 secret을 제출하는 칸이 나오는데 뭘 제출하는 건지 모르니 view sourcecode를 눌러 코드를 한번 봐보자. 그러면 개발자도구에서는 보이지 않았던 저 부분을 볼 수 있다. 코드를 해석해 보자. function encodeSecret($secret) : 파라미터로 받은 $secret값을 base64_encode, strrev, binwhex를 순서대로 하여 그 값을 반환한다. bin2hex(문자열) = ASCII문자열을 16진수로 변환 strrev(문자열) = 문자열 뒤집기 base64_encode(문자열) = 문자열을 2진 데이터로 변환한 뒤, ASCII형태로 변경 그 밑에 if문은 간단히 보면 내가 제출한 값을 (secret) encodeSecret.. 2022. 1. 26. [Overthewire.org_natas] level 6 - level 7(natas8 비번 구하기) 페이지를 들어가보면 이런 화면이 뜬다. 띠용이 먼저 f12로 코드를 봐볼까? 이걸 보면 home, about 링크를 누르면 어디로 연결되는지 써있고, 주석에 힌트가 써있다. *힌트: natas8의 비밀번호는 /etc/natas_web_pass/natas8에 있다* 일단 home을 눌러 이동해보았다. http://natas7.natas.labs.overthewire.org/index.php?page=home 링크가 이렇게 변했다. 그럼 about을 누르면 링크가 저기 마지막 home대신 about으로 바뀌겄네. index.php?page=home 에 대한 설명을 해 보자면, a태그를 이용해 주소를 전송할 때, 메뉴1 메뉴2 메뉴3 이런 식으로 하면 3개의 파일(content1.html~content3.ht.. 2022. 1. 26. [Overthewire.org_Natas] level 2 - level 3(natas4 비번 구하기) 화면 캡쳐가 갑자기 안 돼서.. 그리고 하나하나 다 캡쳐하기 귀찮아서 나타스 문제는 그냥 알게 된 것들을 정리만 해놓을 예정이다. natas는 웹해킹 문제인데 level 0, 1 너무 쉬워서 그냥 넘어가고 level2부터 배운 것을 써 보겠다. level3 페이지에서 f12로 코드를 보면 뭐.. '더이상 힌트는 없다.. 이번엔 구글도 못 찾을 것이다!' 이런식으로 주석이 쓰여있는데 구글도 못 찾는다..? 이건 구글 해킹에 관한 문제임에 틀림없다는 걸 알게됨. (구글링을 통해서..ㅋ) 구글해킹이란? 구글봇이 수집하는 데이터들을 서버에 캐시상태로 저장되기 때문에... 검색을 통해 사용자들의 개인 정보라든지 뭐 그런 보안되어야 하는 정보들이 검색결과로 노출되는 것을 이용하는 것이다. (공격 유형은 여러가지가 .. 2022. 1. 24. 이전 1 다음
