Suninatas 2번 문제를 풀면서

Xss가 아니라 javascript를 우회하는 문제인 것을 깨닳았다.

그러므로 자바스크립트를 우회한 후에 프록시로 해당 페이지로 전달되는 값을 바꿔주는 것이다.

나는 크롬을 쓰므로 인터넷익스플로러와 다른 방법이 필요했다.

파로스로 프록시를 구축하는 것은 많으니 통과를 하고 

크롬에서 프록시를 이용하는 것만 적도록 하겠다.

▲크롬 스토어 접속

구글 스토어와 안드로이드에 사용되는 어플들이 올려져 있을 뿐만 아니라

크롬에서 여러용도로 사용되는 확장프로그램들이 많다.

예를 들어 IE multi tab 같은 것들이다(크롬에서 IE환경 만들기)


▲Falcon Proxy


[Proxy] 라고 검색하면 3번째 확장 프로그램으로 나온다.

하지만 처음 나오는 카테고리가 어플리케이션이므로

오해하지 않고 스크롤을 내려서 확장 프로그램에서 Falcon Proxy를 찾으면 된다.


▲ 주소 표시줄 옆 설치 모습 - 활성화 된 모습(좌), 비활성화 된 모습(우)

설치가 완료되면 크롬 주소표시줄 오른쪽에 위 그림과 같은 아이콘이 생성된다.

해당 아이콘을 클릭하여 다음과 같은 설정을 할 수 있다

필자는 귀찮아서 이름을 입력하지 않았다.

하지만 2개의 설정이 등록되어 있는 모습이다.

2번째 설정이 선택되어 있고

그에 관련된 설정을 하려면 톱니바퀴 모양을 클릭하면 된다.



▲ 설정된 화면(좌), 설정 화면(우)

왼쪽과 오른쪽 사진의 차이는 왼쪽은 이미 등록된 설정을 나타내고

오른쪽은 새로 등록하는 설정을 나타낸다.

차이를 두기 위해 새로 설정을 등록했다;;


▲ 프록시 실행 전 Parox화면(위) , 프록시 실행 후 Parox화면(아래)


Falcon Proxy를 실행하여 프록시 서버로 데이터를 보낸다

위 테스트 환경은 로컬로 돌려

Parox에서 확인을 했으며

다른 프록시 서버로 접속 할 때도

해당 설정 값의 변경을 통해 프록시 서버를 사용할 수 있다.

  1. sroka 2013.09.03 00:38 신고

    크롬에서 프록시라 좋은정보~

▲와우해커 웹게임(웹해킹)사이트

http://webgame.wowhacker.com/


와우해커는 웹게임과 바이너리 게임으로 나뉜다

이어하기를 들어가서 해당 문제에 맞는 키를 입력하면

다음 문제를 풀 수 있도록 한다.

http://webgame.wowhacker.com/level1.php?

웹게임의 첫번째 문제이다.

실수록 php소스를 볼 수 있도록 하였다는 것을 힌트로

인터넷을 찾아보니 phps를 해당 소스를 볼 수 있다고 한다



▲ 첫 문제의 모습(php)

▲ 첫 문제의 모습(phps)

GET메소드로 "wowhacker_hardware"인지를 판단한다.

그러므로 keyㅇ에 wowhacker_hardware를 입력하면

해당 키 값을 찾아서 출력해준다.


▲ 키 값을 넣어 인증 값을 얻었다.






  1. 천추 2013.06.27 00:59 신고

    잘 보고 갑니다.
    좋은 하루되시기 바랍니다.


이제 웹해킹을 공부하려고 한다.

공부할 것이 산더미이긴 하지만 웹해킹부터 시작해서 차근차근 공부하려고 한다.

6월 7일 hdcon에서 한 문제도 못 풀었다. OTL...

역시 그냥 sqlinjection 은 ' or 1=1 -- 이런식으로 한다 라는 정도만 알고

제대로 이용하지 못했기 때문에 이런 일이 일어났다고 생각한다.

그래서 여러 웹 해킹 사이트가 있는데 참고블로그

http://webhacking.kr/은 login에서부터 뭔가 잘 안된다.

지금은 내가 내공이 부족하기 때문이라 생각하고

차근차근 시작하려고 한다.

그래서 선택한 사이트인 

웹 해킹 사이트는 SuNiNaTas

http://suninatas.com/



▲suninatas 접속 화면



▲웹 도전 화면

일단은 1번 문제는 프로그래밍 문제에 가까워서 쉽게 풀 수 있었다.

2번 문제부터 시작인것 같다.

자바 스크립트에서 id==pw 인것을 확인해서

alert으로 메세지창을 띄우는 것이 

힌트인 것으로 보이는데 잘안된다.

xss를 공부를 해봐야 할 것 같다.





  1. DD 2013.06.15 14:21 신고

    전혀 잘못 집으셨습니다. 그리고 저상황에서의 XSS는 불가능해요. XSS는 그렇게 공격하는게 아닙니다

    • kcats kcats 2013.06.22 17:40 신고

      아하 아직 많이 부족해서 ㅎㅎ 이상한 말을 했군요

      앞으로도 자주 지적해주세요!!

  2. OO 2013.12.04 22:01 신고

    김고양이님 어서 빨리 써니나타스 올클리어를 하셔서 뽄때를 보여주자구요!!!
    써니나타스 화면 디자인이 구리네요...
    지금 들어가보니... 위 사진하고는 다른데...
    그래도 구려... ㅋㅋㅋ
    그런데... 문제는 안구린듯...

  3. 00 2016.01.13 19:10 신고

    음 ? 그냥 지나가던 패킷 하나 잡으셔서 변조해주시면 끝인데...

+ Recent posts