모의해킹 스터디 과제 8

모의해킹 스터디 7주차 과제(2): CTF - Blind SQLi

순서CTF 풀이 (1문제)파이썬 자동화 코드  ◈  CTF: Blind SQL Injection   1) SQL Injection 포인트 찾기∽2) SELECT 문 사용 가능한지 체크∽3) 공격 포맷 만들기∽4) DB 이름 찾기∽5) 테이블 이름 찾기∽6) 컬럼 이름 찾기∽7) 데이터 추출하기   ♨ SQL Injection 6 ♨Flag Find제공된 계정: normaltic / 1234    sqli_3 페이지 요청-> 응답 코드 301 영구 이동, 인덱스 페이지 리다이렉트-> 인덱스 페이지 요청-> 응답 코드 302, 로그인 페이지로 리다이렉트하면서 세션아이디 발급-> 로그인 페이지 요청 -> 응답 코드 200, 로그인 페이지 줌-> POST 로그인 데이터 전달 -> 성공 시 응답코드 302, 인덱..

모의해킹 스터디 7주차 과제(1): CTF - Error-Based SQLi

순서CTF 풀이 (3문제)파이썬 자동화 코드  ◈  CTF: Error-Based SQL Injection  1) SQLi 포인트 찾기∽2) 에러를 출력할 함수 선택∽3) 공격 포맷 만들기∽4) DB 이름 출력∽5) 테이블 이름 출력∽6) 컬럼 이름∽7) 데이터 추출   ♨ SQL Injection 3 ♨이 세상은 에러 천지야..ㅠㅜ (문제에 써있었음)제공된 계정: normaltic / 1234  login.php에 접속 -> 로그인 데이터를 POST방식으로 login.php에 전달-> 로그인 성공 시 302 코드로 index.php에 리다이렉션-> index.php 페이지 접근 -> 200코드로 index.php 페이지 응답.   ㉮  SQL Injection 포인트 찾기  우선 에러 메시지를 출력하는..

모의해킹 스터디 6주차 과제: CTF - UNION SQL Injection

기분 굿.  ♨ SQL Injection 1 ♨ 비밀 데이터를 찾아내라!    1) 검색 기능 이해, SQL Injection 가능한지 확인 2) 서버 사용 컬럼 개수 3) 화면에 노출되는 컬럼 위치 찾기 4) DB 명 찾기 5) 테이블 명 찾기 6) 컬럼 명 찾기 7) 데이터 추출    1) 사이트 검색 기능 이해, SQL Injection 가능성 확인    a만 검색해도 a가 포함된 id를 모두 색출함LIKE 구문을 사용 중이란 것을 알 수 있음. SELECT _________ FROM _______ WHERE id LIKE '%___%';  저 구문에 맞는 SQL Injection 확인 코드는a%' and '1%'='1 위의 코드를 검색할 시,결과적으로 이런 구문을 완성시키게 된다.WHERE id ..

모의해킹 스터디 5주차 과제: CTF - 로그인, 인증 우회

못 푼 게 많다.그런 문제는 정답은 못 맞춰도 데이터 오고가는 흐름을 정리하고할 수 있는 건 내 나름의 로직을 짜서 비슷한 걸 만들어보려고 했다.(지다못해 쳐발렸지만 이거라도 하면 점점 강해지겠지....)     ♨ ADMIN IS MINE ♨admin 계정으로 로그인하자!(얘는 풀긴 함.... 얻어 걸림!!!!!)(문제 하단 접은글에 정석 풀이와 좀 더 공들인 구현이 있습니다.) 나는 지금 doldol / dol1234 /4/ 인덱스 페이지 요청     ->    응답 코드 200, js코드로 login.php 리디렉션                                       (js로 location.hret = login.php; 할 경우                             ..

모의해킹 스터디 4주차 과제(1): 자바 스크립트

※ 4주차 과제 (1)≫ 자바스크립트 공부하기자바스크립트로 키로거 코드 짜기자바스크립트 기본  ◈ 자바스크립트로 키로거 코드 짜기키로거 : 사용자가 키보드에 입력한 모든 내용을 기록.              반드시 악의적으로 사용되는 것은 아니지만 그런 목적으로 사용되는 경우가 많음. 1) 로직이벤트 리스너로 입력 감지   ->   입력한 문자 공격자 서버에 보내기   ->   입력한 문자 서버에 저장   ->   문자 확인 *감지하자마자 서버에 데이터를 보내야 ㄹㅇ 찐 키로거가 될 수 있을 것 같다.  2) 결과 코드 html 코드 : 키보드 입력 받기, 데이터 가지고 GET요청 보내기 입력받을 input box와키보드가 눌릴 때 처리할 자바스크립트 코드가 적혀 있다. 인풋 박스에 키보드가..

모의해킹 스터디 3주차 과제: 로그인 케이스

※ 3주차 과제≫ 사전 작업DB 정리하기케이스 나눌 파일 만들고 로그인 페이지랑 연결시키기≫ 로그인 케이스 네 가지 만들기3주차의 완성본겪은 문제들≫ 회원가입 insert문에 hash 데이터 추가하기3주차의 완성본겪은 문제들   ♨ 사전 작업 DB 정리하기로그인 케이스 4가지를 만들어야 한다. 1. 식별 (아이디), 인증(비번) 동시에 검증2. 식별, 인증 따로 검증3. 동시에 검증하면서 인증 데이터 해싱 적용4. 따로 검증하면서 인증 데이터에 해싱 적용     => 기존 평문 비밀번호만 있던 DB에 해시화된 비밀번호 컬럼 필요 ㉮  컬럼 추가ALTER TABLE registration_list ADD pass1 varchar(20);ALTER TABLE [테이블명] ADD [컬럼명] [자료형(길이)];..

모의해킹 스터디 2주차 과제: 회원가입 페이지, 로그인 DB 연동

※ 2주차 과제≫ 회원가입 페이지 만들기2주차의 완성본로직겪은 문제들≫ 로그인 페이지에 DB 연동시키기2주차의 완성본로직겪은 문제들  ♨ 회원가입 페이지 만들기파일은 총 4개가 만들어졌다     1) registration.php : 가입 페이지, 오류문 출력    2) regi_style.css : 가입 페이지 디자인    3) regi_proc.php : DB연동, INSERT    4) vali_check.php : 유효성 검사 결과 반환  2주차 완성본1) registration.php : 가입 페이지, 유효성 검사 통과 못한 데이터에 오류문 출력 ` ..

모의해킹 스터디 1주차 과제

▣ 과제 조건1. 간이 로그인 페이지   DB연결 없이 사용자가 특정 아이디, 비밀번호를 입력했을 때 로그인시켜주는 페이지2. 로그인 페이지 예쁘게 만들기   일단.... 로그인 페이지 결과1) 로그인 페이지 2) 로그인 성공3) 로그인 실패 ♨ 컨셉1. 사람들이 올린 사진이나 그림을 (나의) 그림판 그림체로 바꿔주는 사이트를 만들고 싶다.     (많이 사용하길 기대하는 건 아니다.)2. 1번의 컨셉은 딥러닝 기술을 사용해야하기 때문에 난이도가 있다.   그래서 차선안으로는 "그림판으로 그린 그림 자랑하는 사이트"를 고려하고 있다. ♨ 기능 설명1. 왼쪽의 선풍기 그림이 있는 곳에서는 유저들의 그림이나 AI 연산 결과물이 슬라이딩 될 예정이다.2. 오른쪽의 form에는 로그인 기능이 있다.3. form..