deepble

문제 분석 문제는 간단합니다. F12를 눌러 Script부분을 확인해보면, unlock이라는 변수를 확인할 수 있습니다. 또한 함수부분(function)은 pw값이 unlock과 같으면 해결된다는 것을 알 수 있습니다. 문제에서 입력값을 받는 부분이 하나 밖에 없어서 바로 넣으면 되지만, 왜 저 칸이 pw인지 궁금하다면 form태그를 확인해보면 됩니다. 풀이unlock 값 계산하기    unlock 값 입력하기  check 버튼을 누르면 문제는 풀리게 됩니다. 굉장히 간단한 문제였습니다.

요약BOB 13기 보안 컨설팅 트랙에 지원하여, 서류평가를 합격한 후 필기와 면접 준비에 관련한 내용입니다.  https://deepble.tistory.com/19서류평가 내용과 이어집니다!  필기필기는 모든 트랙 다같이 같은 시간에 같은 시험을 봅니다. 전 아래와 같이 시험계획이 나와있어서, 각각 다른 시험을 보는 줄 알았습니다. 근데 나중에 듣고보니까 똑같은 시험문제인 것 같더라고요.필기평가에서 시간이 부족해서 뒤에 문제들을 많이 못 풀었습니다. 다른 후기들 보면 필기는 그렇게 합불에 중요한 요인으로 작용하진 않는다는데, 그래도 잘 보는게 마음이 편할 것 같습니다. 보통 정보처리기사 문제들과 비슷하다고하니 참고하시면 좋겠습니다.  인적성인적성은 필기시험 보고 난 뒤, 정해진 시간 안에 편하실 때 보..

요약최근 BOB 13기 보안컨설팅 트랙에 지원하여 서류평가 합격한 것을 써볼까합니다. 제가 BOB를 준비했을 때, 거의 모든 블로그 후기들을 봤어서 저의 후기가 이후 지원자분들께 도움이 되었으면 좋겠습니다! 서류전형서류전형에서는 아래와 같은 항목들을 적으면 됩니다. 동아리활동(정보보호관련) 어떠한 동아리를 했었고, 기간은 언제부터 언제인지 적어주시면 됩니다. 또 아래에 정확히 동아리에서 했던 활동들 간단하게 기술하면 됩니다. 선택사항자격증어학수상경력교육사항보유기술기술발표발표논문취약점 제보이력프로젝트 기술서추천서 포트폴리오 아마 선택사항에서 고민 많이 하실 것 같습니다. 저는 핑크색으로 표시한 부분들만 냈습니다. 어학은 점수가 그렇게 높지 않아서 내지 않았고, 보유기술이나 기술발표의 경우 어떠한 걸 써야하..

문제 분석 구글 폼에서 '0개의 옵션을 선택해야 한다'는 조건에도 불구하고, 실제로 옵션을 하나도 선택하지 않으면 '필수 질문입니다.'라는 메세지가 출력되어 제출이 불가능해집니다. 이 문제에 대해 자체적으로 제작한 사이트가 아니라 구글이 제공하는 설문지 플랫폼을 이용한 문제이기 때문에, 웹해킹을 적용하기 어려울 것이라 생각했습니다. 하지만 막상 F12로 코드를 본 결과, 분석할 만한 부분이 없었으므로 바로 풀이로 넘어가겠습니다. 풀이 F12 개발자 도구 열기 해당 사이트 코드를 분석하기 위해서 F12를 눌러 개발자 도구를 살펴보았습니다. Script 부분 확인하기 그 다음 이전에 분석에서 1개이상을 클릭하면 0개를 선택해야한다고 뜨고, 0개를 선택하면 필수 질문이라고 동적으로 변경되는 것을 보며 스크립트..

문제 문제 링크로 들어가면 다음과 같이 소스코드를 볼 수 있는 링크와 ID : guest, PW : 123qwe가 적혀있는 것을 확인할 수 있습니다. 따라서 소스코드 페이지에 들어가면 아래와 같이 소스코드 확인이 가능합니다. 아래는 소스코드 전체를 가져온 것입니다. 분석 (전체 코드 중에서 html코드는 중요하지 않아 분석하지 않았습니다.) 먼저 php코드가 총 2개가 있는 것을 확인할 수 있습니다. 따라서 먼저 첫번째 php 코드를 분석하겠습니다. 첫 번째 PHP 코드 include "../../config.php"; config.php라는 외부 파일을 포함하고 있습니다. webhacking.kr 문제들 소스코드를 보면 많이 등장하므로 여기에 함수나 전역변수 등등이 담겨져있는 것 같습니다. (중요하지 ..

문제 webhacking.kr의 old-3의 문제 페이지를 열면 다음과 같이 네모로직을 할 수 있는 페이지가 나옵니다. 분석 네모로직 규칙에 맞게 문제를 풀고, solved를 눌러줍니다. 그러면 'clear!'이라는 메세지와 함께 name을 입력받고 있음을 확인할 수 있습니다. name으로 SQL 인젝션 공격이 가능할까 하여 항상 참이되는 값을 넣어줍니다. 'submit'을 누르면 이전에 값으로 입력했던 값들과 함께 다음과 같이 리스트를 확인할 수 있습니다. SQL 인젝션 문자를 넣었지만 그대로 name에 출력되는 것을 보아 입력값에 SQL인젝션을 사용하는 것이 아니라는 생각이 들었습니다. 따라서 다시 이전페이지로 가서 F12로 코드를 살펴봅니다. value값이 특정한 값으로 지정되어 있다는 것을 확인할..

문자 10진수 16진수 문자 10진수 16진수 문자 10진수 16진수 NUL 0 0x00 DC4 20 0x14 ( 40 0x28 SOH 1 0x01 NAK 21 0x15 ) 41 0x29 STX 2 0x02 SYN 22 0x16 * 42 0x2A ETX 3 0x03 ETB 23 0x17 + 43 0x2B EOT 4 0x04 CAN 24 0x18 , 44 0x2C ENQ 5 0x05 EM 25 0x19 - 45 0x2D ACK 6 0x06 SUB 26 0x1A . 46 0x2E BEL 7 0x07 ESC 27 0x1B / 47 0x2F BS 8 0x08 FS 28 0x1C 0 48 0x30 HT 9 0x09 GS 29 0x1D 1 49 0x31 LF 10 0x0A RS 30 0x1E 2 50 0x32 VT..

문제 문제화면을 보면 다른 정보가 없어 F12를 눌러 소스코드를 확인합니다. 분석 소스코드 분석 문제에서 소스코드를 보면 시간정보와 admin.php에 관한 정보가 있습니다. admin.php 확인 password로 SQL 인젝션을 시도한 결과 실패하였습니다. F12로 소스코드를 확인한 결과 별다른 힌트는 없었습니다. 따라서 password를 찾아 입력해야하는 것으로 보입니다. 쿠키값 확인 다른 정보가 없어 cookie값을 확인합니다. 쿠키 이름이 time이고 값이 1711501080인 것을 확인했을 때, 유닉스타임스템프로 확인이 필요해보입니다. ■ 유닉스타임스템프 시간 변환 사이트 https://www.epochconverter.com/ Epoch Converter Convert Unix Timesta..