SWLUG/CTF 썸네일형 리스트형 [CTF/ RootMe] Directory traversal Challenges/Web - Server : Directory traversal [Root Me : Hacking and Information Security learning platform] www.root-me.org 문제 확인 Photo galery 라는 웹페이지에서 hidden section을 찾으면 되는 듯 하다. Directory Traversal 공격자가 응용 프로그램을 실행 중인 서버에서 임의의 파일을 읽을 수 있도록 허용하는 웹 보안 취약점이다.directory traversal공격을 통하여 애플리케이션 코드 및 데이터, 백앤드 시스템의 자격 증명 및 중요한 파일을 읽거나 접근할 수 있다. 또한 임의 파일에 쓰면서 데이터를 수정하여 서버를 제어할 수 있다. 문제 확인.. 더보기 [CTF/ Dreamhack] file-download-1 file-download-1File Download 취약점이 존재하는 웹 서비스입니다. flag.py를 다운로드 받으면 플래그를 획득할 수 있습니다. Reference Introduction of Webhackingdreamhack.io 문제 확인 문제 풀이 서버를 생성하여 접속한다 메모를 업로드 하란다... 상단에 'Upload My Memo'를 누르면 아래와 같은 화면이 출력된다. 저기서 아무렇게나 작성하여 upload 해본 결과, Home 화면에 아래와 같이 upload 되는 것을 확인할 수 있다. a가 Filename인데, 클릭해보면 이렇게 뜬다. url은 다음과 같다. read 함수에서 name 파라미터에 Filename = a인 메모를 다운받은 것이다. 일단 다.. 더보기 [CTF/ Dreamhack] pathtraversal pathtraversal사용자의 정보를 조회하는 API 서버입니다. Path Traversal 취약점을 이용해 /api/flag에 있는 플래그를 획득하세요! Reference Server-side Basicdreamhack.io 문제 확인 path traversal 공격: 파일의 경로를 조작하여, 응용 프로그램의 서버 내의 임의의 파일을 읽고, 쓸 수 있는 arbitary file read, arbitary file write가 발생할 수 있다. (경로 문자열에 대한 검사가 미흡하여 허용되지 않는 경로에 접근할 수 있는 취약점) path traversal 우회 방법 1. 절대 경로 사용filename=/etc/passwd와 같은 절대 경로 사용하여 직접 파일에 접근2. 중첩 traversa.. 더보기 [CTF/WebGoat] SQL Injection (advanced) 보호되어 있는 글입니다. 더보기 [CTF/ Dreamhack] sql injection bypass WAF 보호되어 있는 글입니다. 더보기 [CTF/ Dreamhack] weblog-1 보호되어 있는 글입니다. 더보기 [WebHack][WebGoat] SQL Injection (intro) [WebHack][WebGoat] 환경세팅 & Hijack a sessionWebGoat 환경 세팅 [WebGoat] 실습 환경 종료 후 컨테이너 재실행WebGoat를 도커 컨테이너에 올려 실습을 진행한 후 실습이 마무리 되어 종료하고 다시 실행할 경우에는 어떻게 다시 WebGoat 실습 환경keemnh.tistory.com※ 해당 방법으로 WebGoat에 접속 후, 아래와 같은 페이지에서 실습을 진행하였다. SQL 종류DML (Data Manipulation Language) - 데이터 조작어; 데이터 조작과 관련된 문법a. 데이터 조회 - Select b. 데이터 추가 - Insert c. 데이터 수정 - Update d. 데이터 삭제 - DeleteDDL (Data Definition La.. 더보기 [CTF/ Dreamhack] error based sql injection error based sql injectionDescription Simple Error Based SQL Injection ! 문제 수정 내역 2023.07.21 Dockerfile 제공dreamhack.io 문제 확인 SQL(Structured Query Language)이란?데이터베이스에서 데이터를 추출하고 조작하는 데에 사용하는 데이터 처리 언어이다.- 쉽게 말해 데이터베이스에 저장된 정보를 쉽게 찾고 정리하는 데에 도움을 주는 도구- 시장 트렌드 분석이나 고객 행동 패턴 파악 등을 통해 적합한 전략을 수립할 수 있다.- SQL을 통해 데이터베이스에서 원하는 정보를 추출하고, 데이터의 흐름이나 특정 조건에 따른 데이터 분석을 할 수 있다. * SQL을 사용하기 위해서는 데이터베이스 관.. 더보기 이전 1 2 3 4 다음
