[모의해킹 CTF] Pin Code Crack

[모의해킹 CTF] Pin Code Crack

블로그 내용을 설명하는 두줄 내지 3줄 정도의 글이 첫 문단인 여기에 와야 합니다.  여기에는 키워드 또한 반드시 적혀 있어야 합니다. 검색엔진에서 검색결과 글 내용의 일부를 보여주는데, 바로 여기 첫 문단의 글이 보통 노출이 됩니다. Pin Code Crack  1. 문제 2. 사이트 분석 3. Brute Force Attack위의 목차를 클릭하면 해당 글로 자동 이동 합니다.  문제사이트에 주어진 정보 없이, 하기 번호로 전송될 PIN CODE를 맞춰라 사이트 분석1. 사이트는 크게 2 페이지로 이루어져 있다.  ▶ 로그인 페이지로 숫자 4자리를 입력 받고▶ 입력받은 숫자를 검증하는 코드로 이루어져 있다.  ▶ 문제 접근 : 4자리 숫자 중 1개라면, 0000~9999를 다 대입해 보면 찾을 수 있지..

  • format_list_bulleted IT 성장기 (교육이수)/CTF 문제풀이
  • · 2024. 5. 21.
[모의해킹 CTF] Secret Login

[모의해킹 CTF] Secret Login

모의해킹 스터디 중 CTF 문제에 대한 풀이 과정을 서술하며, 문제에 도달하는 과정을 이해하기 위한 목적으로 작성. Secret Login    1. 사이트 분석 2. DB 구성 유추 3. Limit CTF 문제 : id, password를 모르는 관리자 계정을 탈취하라!  사이트 분석1. 주어진 doldol 아이디로 로그인 시도 ▶ 로그인 패킷에서 확인되는 점로그인 정보를 입력하면, POST 방식으로 데이터를 전송하며HTTP 302 응답 코드로, index.php로 리다이렉트 한다. 로그인에 성공하면, index.php로 리다이렉트 된다.해당 페이지에서는 특이점은 없다. ▶ 기본 SQL Injection 확인우선, AND 와 OR 문을 이용한 기본 SQL 인젝션이 가능한지 확인 해보았다.OR 구문이 가..

  • format_list_bulleted IT 성장기 (교육이수)/CTF 문제풀이
  • · 2024. 5. 20.
[모의해킹 CTF] Admin is Mine

[모의해킹 CTF] Admin is Mine

모의해킹 스터디 중 CTF 문제에 대한 풀이 과정을 서술하며, 문제에 도달하는 과정을 이해하기 위한 목적으로 작성.  Admin is Mine 1. 사이트 분석 2. Response 변조 3. Burp Suite 설정   사이트 분석1. 주어진 doldol 아이디로 로그인 시도 ▶ 로그인 패킷에서 확인되는 점입력된 로그인 정보를 GET 파라미터로 전달하며200 코드로 인증이 성공한 것으로 보인다. ▶ 만약 로그인을 틀리게 입력한다면?로그인을 성공했을때와 동일하게, 200 코드를 응답하지만결과값이 ok 가 아닌 fail로 응답한다. ▶ 로그인 성공 시에만, index.php로 넘어간다Response 변조▶ 만약, 틀린 입력값의 result를 fail -> ok 로 변경한다면?User Id: admin P..

  • format_list_bulleted IT 성장기 (교육이수)/CTF 문제풀이
  • · 2024. 5. 19.
[모의해킹 CTF] Login 인증우회

[모의해킹 CTF] Login 인증우회

모의해킹 스터디 중 CTF 문제에 대한 풀이 과정을 서술하며, 문제에 도달하는 과정을 이해하기 위한 목적으로 작성.  Login Bypass2 1. 사이트 분석 2. SQL Injection 3. 로그인 우회 : 주석 사이트 분석1. 주어진 로그인 키를 활용하여 사이트 동작 방식을 확인한다.  ▶ 로그인 패킷에서 확인되는 점POST 방식으로 입력된 아이디와 비밀번호를 전달한다.POST 로 보낸 데이터를 어떠한 SQL 쿼리를 거쳐 GET 방식으로 전달 및 인증되고 있다. SQL 인젝션이 가능한지, 확인해보자!  SQL Injection 1. 주어진 doldol 아이디로 기본 SQL 인젝션 시도UserId : doldol' AND '1'='1Password : dol1234▶ 결과 : 로그인 성공로그..

  • format_list_bulleted IT 성장기 (교육이수)/CTF 문제풀이
  • · 2024. 5. 19.
[webDev] 식별과 인증 (Identification vs. Authentication)

[webDev] 식별과 인증 (Identification vs. Authentication)

식별과 인증  1. 정의 2. 인증의 종류 3. 로그인 로직 구성 방법  정의식별 : 수 많은 데이터 중에 특정 데이터를 찾는 작업방법 : 이 경우 사용자는 자신이 누구인지를 시스템에 알리고, 시스템은 이 정보를 바탕으로 해당 사용자의 권한을 확인한다식별 정보는 UNIQUE 해야 한다. (중복 불가)이름, 생년월일 등은 중복될 우려가 있기에 식별자로 사용하기 부적합하다예 ) 00년01월01일 생일인 김철수가 우리나라에 두 명 존재하면, 두 사람의 데이터가 중복됨으로 식별할 수 없다. 인증 : 시스템에서 사용자가 제공한 정보가 실제로 그 사용자의 것인지 확인하는 것방법 : 사용자가 전달한 정보를 데이터베이스에서 찾아서, 일치하는지 확인한다인증 정보의 예로는 비밀번호, OTP 등이 있다식별 정보는 외부에 노..

  • format_list_bulleted IT 성장기 (교육이수)/모의해킹 스터디 (2024.04-09)
  • · 2024. 5. 4.
[webDev] Mysql 데이터베이스 - PhpMyadmin & 명령어

[webDev] Mysql 데이터베이스 - PhpMyadmin & 명령어

Mysql 로 데이터베이스 생성하기  목차  1. 데이터베이스란? 2. PhpMyadmin 3. SQL 명령어 - Select, Insert, Where 조건문위의 목차를 클릭하면 해당 글로 자동 이동 합니다. 데이터베이스란?데이터베이스 (Database, DB) : 데이터의 집합DBMS (Database Management System) : 데이터베이스를 관리하고 운영하는 소프트웨어DBMS는 특정 목적을 처리하기 위한 프로그램예) MySQL, Oracle, Mariadb (아래 종류 참조) 데이터베이스의 구조Field : 데이터베이스 시스템에서 처리의 최소 단위 Table : 빠른 참조를 위해 적당한 형태로 자료를 모아 놓은 것. 행과 열의 형태로 관리된다.Row(행) : 관계형 데이터베이스에서 레코..

  • format_list_bulleted IT 성장기 (교육이수)/모의해킹 스터디 (2024.04-09)
  • · 2024. 4. 30.