보안맨

이번 CTF 에서 가장 쉬웠던 문제 이전에도 비슷한 유형을 다뤘었다. (https://hackingstudypad.tistory.com/78) 별다른 소스코드 없이 문제페이지 주소만 제공이 된다. 문제페이지에 들어가면 달랑 이 사진하나만 나온다. 구글 로고와 로봇 사진이 있는데 로봇 사진이 나왔다면 무조건 robots.txt 관련된 문제이다. 블로그를 운영한다면 익숙한 단어일 것이다. 이 문제는 robots.txt 를 이용해 푸는 문제이다. 네이버 서치어드바이저에 있는 바로 그 robots.txt이다. robots.txt는 로봇 배제 표준이라고 해서 웹 사이트에 로봇이 접근하는 것을 방지하기 위한 일종의 규약이다. 검색엔진들이 내 웹페이지를 마구마구 접근하는 것을 제한하기 위해서 사용한다. 웬만한 웹사이..

웹해킹 1번문제였다. 웹해킹 기초의 종합선물세트 같은 느낌이었다. 문제 페이지에 접속하면 이런 화면이 나온다. 로봇 그림이 있는데 로봇이 나온다면 바로 /robot.txt 로 들어가보는게 정석이다. URL 에 robots.txt 를 입력해서 가보니 humans.txt 라는 페이지가 있다는 것을 알게 되었다. 바로 humans.txt 로 들어가봤더니 우주비행사 사진이 나왔다. 그런데 우주비행사가 쿠키를 하나 들고있는것이 보였다. editthiscookie 확장프로그램을 통해 쿠키값을 확인해보니 human 이라는 쿠키값이 false 로 설정되어 있는것이 보였다. 해당 값을 true 로 바꿔준뒤 새로고침을 해봤다. 그랬더니 arrakis 로 가보라는 문구가 나왔다 arrakis 로 가보니 비밀번호를 입력하는 ..

Tenable CTF 에서 웹해킹 카테고리에 있던 문제들은 하나의 웹 사이트가 주어지고, 그 안에서 여러 플래그를 찾아 해결하는 방식이었다. 간단한 문제들이 많아서 여러개를 한번에 포스팅한다. 위에 보이는 것이 공통적으로 제공되는 웹사이트이다. 첫번째는 Stay Away Creepy Crawlers 이다. 문제 설명을 읽어보면 Find the flag where they keep the creepy crawlers away 라고 적혀있다. crawler 와 관련있는건 robots.txt 이다. 네이버 서치어드바이저에 있는 바로 그 robots.txt이다. robots.txt는 로봇 배제 표준이라고 해서 웹 사이트에 로봇이 접근하는 것을 방지하기 위한 일종의 규약이다. 검색엔진들이 내 웹페이지를 마구마구 ..

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. 생각보다 쉬운 난이도의 문제가 많아서, 하나씩 포스팅하면 글이 너무 짧아질까봐 쉬운 문제들은 몇개씩 묶어서 포스팅 해보려 한다. easy sqli 가장 먼저 easy sqli 문제 문제 페이지에 접속하면 로그인 페이지가 나오고, Login as admin 이라는 가이드도 주고 있다. SQL Injection 문제의 전형적인 문제로 아마 서버측에서는 select * from users where username=' ' and password = ' ' 이런식으로 쿼리가 적혀있을 것이다. use..

CTFlearn의 다섯번째 문제 드디어 풀이수가 2만명 이하로 떨어졌다. 출제자는 문제를 MISC로 분류했지만(Miscellaneous) 굳이 따지자면 웹해킹이랑 관련있는거 같아 웹해킹으로 포스팅을 적는다. 이 문제는 제목이랑 설명에서 부터 큰 힌트가 있다. Where Can My Robot Go? Where do robots find what pages are on a website? 아마 티스토리 하시는 분들이라면 익숙한 단어일 것이다. 이 문제는 robots.txt 를 이용해 푸는 문제이다. 네이버 서치어드바이저에 있는 바로 그 robots.txt이다. robots.txt는 로봇 배제 표준이라고 해서 웹 사이트에 로봇이 접근하는 것을 방지하기 위한 일종의 규약이다. 검색엔진들이 내 웹페이지를 마구마..

이번 대회의 웹해킹 문제들은 다 쉬웠던거 같다. 두번째 웹해킹 문제 역시 별다른 소스코드 없이 문제페이지 주소만 제공이 된다. 이런 쉬운문제는 제목에서 부터 벌써 느낌이 온다. 웹해킹 카테고리에 있는 문제의 제목이 RD2D다? 바로 robots.txt와 관련된 문제임을 직감해야한다. 문제페이지에 들어가면 달랑 이 사진하나만 나온다. 스타워즈를 본 사람들은 알겠지만 오른쪽에 있는 조그만 로봇의 이름이 R2D2이다. R2D2 -> 스타워즈 나오는 로봇 -> 웹해킹 문제에 로봇 -> robots.txt 이런식으로 생각하면된다. 블로그를 운영하는 사람이라면 robots.txt가 익숙할 것이다. 네이버 서치어드바이저에 있는 바로 그 robots.txt이다. robots.txt는 로봇 배제 표준이라고 해서 웹 사이..