보안맨

NoSQL Injection 과 관련된 웹해킹 문제 NoSQL 이란 Not only SQL 의 약자로 SQL 만을 사용하지 않는 DBMS 를 말한다. 기존 관계형 데이터베이스 보다 덜 제한적인 특징을 가진다. 이번 문제의 목표는 NoSQL Injection 을 통해 숨겨진 USER 를 찾는 것이다. 문제 페이지에 접속하면 이런 로그인 창이 나온다. 시험삼아 ID 와 PW 에 hello / hello 라고 입력해봤다. Bad username or bad password 라는 문구가 출력된다. URL을 보니 입력한 ID 와 비밀번호를 GET 방식으로 서버에 전송하고 있다. ID 는 login 변수에, 비밀번호는 pass 변수에 담아서 넘긴다. https://github.com/swisskyrepo/Paylo..

쉬운 난이도의 웹해킹 문제 이번 대회는 참 컨셉에 충실한것 같다. 문제 제목에 나오는 LeChuck은 Monkey Island 라는 게임 시리즈에 나오는 언데드 해적 선장이라고 한다. 나는 처음 들어본 게임인데 영미권에서는 꽤나 유명한 게임인듯 보였다. 문제 설명을 보아하니 LeChuck이 내 웹 페이지를 털어갔는데 아마 이 빌런이 시그니처를 어딘가에 남겨 놓았을 거라고 알려준다. 그 시그니처를 찾는게 문제의 목표인듯 하다. 문페 파일은 따로 주어지지 않고, 문제페이지 주소만 주어진다. 문제 페이지에 접속해보면 위에 보이는 화면이 다다. 검은 바탕에 Hi there! Welcome to the CTF... 라고 적혀있고 입력창, 버튼 등등 아무것도 없다. 일단 문제를 풀기위한 경로를 먼저 찾아야 할 것 ..