tlwkrgoqhfRk

깃헙 블로그 새로 팠습니다. 익숙해질 때까진 티스토리랑 깃헙 같이 쓸 듯 하네요 https://j1n00000.github.io/ j1n hello :) j1n00000.github.io 건강이슈 및 업무량 증가 이유로 몇 달간 안 봤더니 다 잊어버림.. 여전히 보안 직종에 대한 관심이 있어서 조금씩 느리게 밖에 못하더라도 꾸준히는 해보려고 함!! tlwkrgoqhfRk!!

Username: natas16 URL: http://natas16.natas.labs.overthewire.org 소스코드가 익숙하다.. 찾아보니 natas9->10과 비슷한 문제처럼 보인다. Natas Level 9 → Level 10Username: natas10 URL: http://natas10.natas.labs.overthewire.org 이번에는 특수 문자를 필터링한다고 한다. 소스코드를 보면 입력값에 '/[;|&]/' 가 있으면 "input contains an illegal character!" 을 출력시킨다. 따라서 이00yj.tistory.com 그런데 이번에는 Natas 9 to 10 에서 보다 많은 특수문자를 필터링하고 있으며, key로 받는 입력값도 명령어에 주입되지 않도록 "..

Username: natas15URL: http://natas15.natas.labs.overthewire.org 접속했을 때 화면: 이번에도 username을 입력하는 칸이 있다. 소스코드를 보면, 참/거짓인 구문이 되도록 입력하면 유저의 존재만 알려준다. 따라서 Blind SQL injection을 해야한다. natas16을 username 칸에 입력했을 때 해당 유저가 존재한다고 출력되었으므로 natas16의 패스워드를 알아낼 스크립트를 작성하자. 패스워드 문자열이 최대 64자리라고 했으니까, 브루트포싱하는 스크립트를 썼다. 1. 패스워드를 이루는 문자 목록 뽑기 1 2 ..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

Username: natas14 URL: http://natas14.natas.labs.overthewire.org 접속했을 때 화면: 소스코드: 간단한 SQL injection 문제이다. 입력값을 그대로 쿼리에 넣는데다, 쿼리문에 대한 결과가 한 행이라도 있으면 다음 단계의 패스워드가 나오고 있다. 따라서 natas" or 1=1 # 과 같이 참인 구문이 되도록, 패스워드부분은 주석처리 되도록 입력하면 패스워드가 나온다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

Username: natas13 URL: http://natas13.natas.labs.overthewire.org 접속했을 때 화면: 소스코드: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

보호되어 있는 글입니다.