해킹
Posts
170 posts
WebGoat를 풀어보자 - Stage 1: Stored XSS
여러분이 상자에 양을 하나 넣었다고 칩시다.그 다음 다른 사람이 상자를 열 때까지 기다려봅시다.마침 지나가던 사람이 그 상자를 열었어요. 당연히 양이 들어있겠죠? 알고 보니 그 양이 악성코드더라. 그게 바로 Stored XSS 공격 방식입니다.보다시피 남의 사이트(상자)에 악성 코드(양)를 넣어두면 상자를 연 사람 모두가 피해를 받습니다.왜냐하면 그놈의 악성코드가 사이트에 저장되어 있기 때문이죠. 우리가 여기서 하는 게 바로 그 일입니다.제리라는 친구의 계정이 Stored XSS에 취약하다는 걸 직접! 보여달라고 하네요. (?) 아무튼 Jerry 계정의 암호는 'jerry'입니다. 설명에 쓰여있잖아요.Tom 계정은 tom이고요. 들어오면 스태프 검색도 되고... 프로
Hack This Site! Realistic mission 9를 풀어보자 - 회사가 월급을 안 줘요
이보쇼, 내 상사 양반이 월급을 안줘서 집세를 못내는 상황이니 상사 계정 해킹해서 돈 좀!하고 절규하는 모 회사원이 보낸 요청입니다.자기 유저명이랑 비밀번호는 가르쳐줬네요. 직접 들어가보면 사이트를 정말 날림으로 만들었군요.애들 교육 소프트웨어를 만드는 회사랩니다.근데 회사원 월급은 안 주는군요.아무튼 로그인을 해보면 메시지 - 로그아웃 - 월급 주기 메뉴가 보입니다. Pay Salaries를 눌러보니 관리자가 아니라고 뜨네요. 그리고 Private Message을 눌러보면 여기 오너가 m-crap임을 알 수 있습니다.4인 회사라니 정말 가족^^같겠군요.일단 여기서 유추할 수 있는 건 ID = (사원명)@crappysoft.com일 것 같단 점입니다.그러니 오너 ID는
Hack This Site! Realistic mission 8을 풀어보자 - 은행 털기
개리 헌터란 놈이 10000000 달러를 해커 퇴치 사업에 기부할 생각인 모양입니다.이 사람은 컴퓨터 백신 프로그램을 안 쓰나...?백신도 해커가 만드는데 말이죠. 아무튼 그래서 해야할 일은 1. 개리 헌터 계정 찾기(계정명은 모름^^)2. 돈을 dropCash란 계정에 옮기기3. 돈을 옮겼다는 로그 삭제하기 가 되겠습니다. (설명만 보면 범죄가 아닌가 싶지만 예제에서 언제 그런 거 신경 썼다고...) 그래서 와보면 왼쪽 메뉴로 홈 - 로그인 - 가입 - 헲 - 유저 정보가 있군요.저기 위에 있는 구글 야후! 이딴 거 무시하셔도 됩니다.눌러봤자 해당 사이트로 이동하고 끝이거든요.그러니 일단 가입부터 합시다. 유저 이름 비밀번호 그리고 원하는 정보를 적고 register를 누르면
Hack This Site! Realistic mission 7을 풀어보자 - 미국 애국보수들
선택의 자유 양반이 보낸 일거립니다.동성 결혼 반대나 마리화나 반대 같은 짓거릴 하는 작자들에게 어메리칸 프리덤을 보여주자고 하는데요. 여기는 마리화나도 불법이고 동성 결혼도 불법인 딴세상이라 그닥 공감이 안되네요.아무튼 그래서 admin section을 해킹해달랍니다.섹션들 어딘가에 숨어있을 거라네요. 들어가보면 보기 영 그런 사진과 함께 여러가지 카테고리가 있는데요.저 맨 아래 Michael Savage는 눌러봤자 사이트가 막혀있습니다. 그래서 나머지 세 카테고리를 눌러보면 구분을 file=어쩌고.txt로 해두었군요.그리고 전 여기서 막혔습니다^^ 뻘짓을 하다 발견한 사실이 하나 있는데요,여기서 jpg 파일 부분만 지우면... 인덱스에 리스트가 주루룩
