Webgoat Introduction(WebWolf)
Wargame/WebGoat2024. 3. 14. 14:20Webgoat Introduction(WebWolf)

우선 간단하게 Introduction에서 WebWolf 문제를 풀어보았다. 가입한 계정의 메일주소로 메일을 보낸다. ( 메일 형태는 계정@webgoat.org ) webwolf의 Mailbox 탭에서 Inbox를 보면 메일을 확인할 수 있다. unique code는 wckwck이다. Congratulations. 메시지가 뜨면 성공한 것이다. 이제 다음 문제인 4번으로 넘어가겠다. 파란색 글자인 Click here to reset your password를 클릭하였다. 패스워드를 입력하고 Save를 눌러보면 아래와 같이 아무것도 뜨질 않는다. WebWolf로 넘어가서 Incoming requests를 클릭하여 Requests를 보면 맨 아래에 parameters : uniquecode가 보인다. 이를 정..

Webgoat 설치 방법
Wargame/WebGoat2024. 3. 14. 13:49Webgoat 설치 방법

[사전 준비] 1. 깃허브(https://github.com/WebGoat/WebGoat/releases)에서 webgoat-server-8.0.0.M24.jar, webwolf-8.0.0.M24.jar 파일 다운로드 2. jdk 11버전 이상 다운로드 01. WebGoat Setting java 최소 11버전 이상 설치 1) jdk-11.0.2_windows-x64_bin.exe 더블클릭 후 기본 옵션으로 설치 진행 2) window + R -> sysdm.cpl -> 고급 -> 환경 변수 -> 시스템 변수 새로 만들기 -> 변수 이름 : JAVA_HOME 변수 값 : C:\Program Files\Java\jdk-11.0.2 변수 이름이 Path인 것을 더블 클릭 후 새로 만들기 클릭 새로 만들기 -..

Wargame/DreamHack2022. 8. 12. 16:35고전 암호 & 현대 암호

1. 고전 암호 1) 치환 암호 : 평문의 문자를 다른 문자로 바꾸는 것 - 단일 문자 치환 암호 : 평문의 각 문자를 약속된 다른 문자로 치환하는 암호로 일대일 대응관계이다. ex) 카이사르 암호 : 평문의 각 알파벳을 일정한 거리만큼 밀어서 다른 알파벳으로 치환. - 다중 문자 치환 암호 : 평문의 한 문자가 암호문에서 여러 종류의 문자로 치환될 수 있다. ex) 비제네르 암호 : 암호와화 복호화가 미리 정해진 키워드를 통해 반복하며 치환하여 이루어진다. Ci​=Ek​(Mi​)=(Mi​+Ki​)mod26 Mi​=Dk​(Ci​)=(Ci​−Ki​)mod26 2) 전치 암호 : 평문을 구성하는 문자들의 순서를 재배열하여 암호문을 만든다. 3) 공격방법 - 전수 키 탐색 공격 : 평문과 암호문을 알 때, 키..

Level 1 : session-basic
Wargame/DreamHack2022. 8. 8. 18:24Level 1 : session-basic

문제 파일을 다운로드 받은 후 접속 정보 사이트로 들어갑니다. 사이트에서 Login 클릭 후 guest / guest 로 로그인을 해봅니다. admin이 아니라고 나타납니다. 이 때 주소창에 /admin을 추가해보면 다음과 같이 나타나는 것을 알 수 있습니다. admin에 해당하는 값을 복사하여 원래의 창으로 돌아간 다음 개발자 도구에서 Application을 클릭하여 cookies를 선택 후 sessionid의 Value 값에 붙여넣기 하여 변경해준다. 그리고 새로고침을 해주면 다음과 같은 화면이 나타나는 것을 확인할 수 있습니다.

Level 1 : dev tools-sources
Wargame/DreamHack2022. 7. 22. 18:20Level 1 : dev tools-sources

문제 파일을 다운로드 후 index.html을 클릭하여 들어가본다. 개발자 도구에서 Sources로 들어가서 Ctrl+shift+F를 사용하여 flag를 검색해보면 파일이 하나 나오지만 해당 파일에서 플래그의 값을 얻을 수 없다. 따라서 flag의 기본 값인 DH를 검색하면 해당 플래그의 값을 얻을 수 있습니다.

Level 1 - cookie
Wargame/DreamHack2022. 7. 22. 15:55Level 1 - cookie

문제 파일을 다운받고 위의 주소로 접속한다. 다운로드 받은 문제 파일을 살펴보면 users 안에 guest : guest가 적혀 있기에 아이디 비밀번호에 입력해본다. 로그인이 되었지만 admin은 아니라고 하므로 개발자 도구에서 쿠키를 살펴본다. 쿠키에서 Value 값이 guest로 되어있으니 이를 admin으로 바꿔본다. 바꾼 후 새로고침을 해보면 플래그의 값을 확인할 수 있습니다.

Natas Level 4 → Level 5
Wargame/Natas2022. 4. 12. 02:53Natas Level 4 → Level 5

Username: natas5 URL: http://natas5.natas.labs.overthewire.org [ Question ] Access disallowed. You are visiting from "" while authorized users should come only from "http://natas5.natas.labs.overthewire.org/" [ Answer ] 문제에서 refresh page 버튼을 누르게 되면 현재 natas4페이지에서 방문했기에 접근이 불가능하고 natas5로 와야 접근이 가능하다고 한다. 이 페이지에서 f12나 cmd+option+i 를 눌러 Console로 들어가 document.referrer을 입력해주면 리퍼러가 natas4인 것을 알 수 있다. ..

Natas Level 3 → Level 4
Wargame/Natas2022. 4. 12. 00:23Natas Level 3 → Level 4

Username: natas4 URL: http://natas4.natas.labs.overthewire.org [ Question ] There is nothing on this page [ Answer ] 페이지 소스코드를 보면 15번째 줄에 정보도 없고 심지어 구글도 찾을 수 없다고 한다. 그래서 구글링을 해보았다. 구글 검색 차단을 검색하다가 연관 검색어로 구글 이미지 검색 안되게라고 떠서 검색해 보았더니 서버의 루트에 이미지를 차단하는 robots.txt를 추가하라고 하여 uri에 추가해보았다. 그 전에 robots.txt에 대해 살펴보면 다음과 같다. robots.txt란? 서버 관리자가 웹페이지 HTML 작성 시 맨 위에 검색 로봇을 배제한다는 의미의 'File:robots.txt', 'Us..

image

티스토리툴바