보안/Wargame

두 번째 단계에서도 1단계와 동일하게 alert() 를 페이지 내에 삽입(inject)하면 되는 문제다. 그래서 1단계와 동일하게 input 내용에 아래와 같이 입력해보았다. 하지만 alert 는 발생하지 않았고, 내가 입력한 내용 또한 드러나지 않았다. 그래서 소스코드를 직접 확인해본다. 하지만 예상과는 다르게 script 는 어떠한 필터링 없이도 잘 들어갔으나 여전히 alert는 동작하지 않았다. 그리고 사실 여기에는 당연한 이유가 있었다. 조금 더 분석해본 결과, input에 글을 입력하여 "Share status" 버튼을 눌러 글을 작성하게 되면, 글은 서버에 올라가는 것이 아니라 Local Storage에 javascript를 이용하여 저장이 된다. 그리고 새로고침을 통해서 글을 불러오게 될 경..

보안/Wargame

첫 번째 단계의 목표는 alert 창을 띄우는 것이 끝이다. alert 창이라 함은 결국 javascript의 alert() 함수를 의미하겠다. 우선 유일하게 보이는 input의 입력란에 임의의 내용을 입력하고 Search 버튼을 눌러본다. 임의의 내용인 "hello there"을 작성하구서, Search 버튼을 누르면 아래와 같이 나온다. "hello there" 라는 문자열이 우리가 입력한 그대로 출력됨을 알 수 있다. 소스보기로 다시 보면 아래와 같다. 그럼 저곳에 script 를 넣게 되면 HTML이 렌더링되면서 alert() 창이 팝업되지 않을까? 내용을 다시 입력하고 Search 버튼을 누르면 아래와 같이 코드가 삽입(inject)되고, 아래 이미지처럼 성공적으로 단계를 마쳤다고 alert 메..

보안/Wargame

처음 접속하면 위와 같이 나오는데요. 언뜻 보면 주어진 문자열을 MD5 암호화해서 input 입력란에 입력하고 Submit 버튼을 누르면 되는 걸로 보입니다. # md5.py import hashlib string = "95FsH2OPEIf6NGnXvDTF".encode("utf-8") enc = hashlib.md5() enc.update(string) encText = enc.hexdigest() print(encText) Python 코드로 위에 나오는 문자열을 md5 암호화 해서 출력된 값은 다음과 같습니다. C:\Users\Domdom>python md5.py 71916fb0702e0f4d9d56f3c733854e24 그리고 이 암호화한 문자열을 input 입력란에 입력하고 Submit 버튼을 ..