webhacking collection

오랜만에 돌아온 root-me~~~ 일단 문제를 보면 위와같이 떠있는것을 볼수있습니다. 일단 id랑 pw를 해봅시다 회원가입을 하면 관리자가 계정의 상태를 업데이트 해준다고 기다리라고 한다. profile이란 문구를 눌러보았는데 Status 라는 버튼이 비활성화 된 상태로 있고, Submit 버튼을 누르면 You're not an admin! 왠지 저 Status 버튼을 활성화 시켜서 눌러야할 듯 하다. Private 페이지에 가면 administrator가 계정을 아직 승인안했다고 기다리라는 안내문구가 나온다. 아마도 이전 Profile 페이지의 Status 버튼을 눌러주면 계정이 활성화가 되는듯 하다. Contact 페이지에 가면 administrator와 소통할수 있는 페이지가 나온다. admin에..

들어가 보시면 이렇게 문제가있습니다. 이름을 보시면 stored1이라는데 stored이란 악성 스크립트가 서버 내에 존재하는 데이터베이스 또는 파일 등의 형태로 저장되어 있다가 사용자가 저장된 악성 스크립트를 조회하는 순간 발생하는 형태의 xss입니다. 이 stored는 사용자의 입력 과정에서 부재로 html을 그대로 출력하게 됩니다 예를 들어 를 넣었다 하면 html에서는 이것을 그대로 명령어로 받아들입니다. 이제 시작하겠습니다. 풀이: 저는 일단 도메인은 없는거같습니다 쿠키를 보면 아무것도 일어나지 않았습니다. 저는 그래서 서버를 이용해야 한다는것을 알았고 https://requestbin.net/ RequestBin — Collect, inspect and debug HTTP requests and..

일단 확인 누르고 그냥 관리자 도구로 가서 script에 들어가주었더니 function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"; var tab = pass_enc.split(','); var tab2 = pass.split(',');var i,j,k,l=0,m,n,o,p = "";i = 0;j = tab.length; k = j + (l) + (n=0); n = tab2.length; for(i = (o=0); i < (k = j = n); i++ ){o = tab[i-l];p += String.fromCharCode((o = tab2[i])); if(i == 5)break;} for(i..

첫화면엔 이렇게 뜹니다;; 일단 f12를 눌러 관리자도구를 열었더니 파일들이 있습니다 문제가 그렇듯 webpack에 들어가 줘야 하는것 같았습니다. src에 들어가줬더니 뭔가 4가지 파일이있었습니다 둘러 보다보니 // Did you know that comment are readable by the end user ? // Well, this because I build the application with the source maps enabled !!! // So please, disable source map when you build for production // Here is your flag : BecauseSourceMapsAreGreatForDebuggingButNotForProducti..

사이트를 들어가보니 아무것도 띄어있지않았습니다. 그래서 작업관리자를 열어줬더니 script칸에 É=-~-~[],ó=-~É,Ë=É

이문제를 들어가면 아무것도 나오지 않습니다. f12를 눌러주면 이렇게 뜰텐데요 전 문제와 같이 해주었더니 이렇게 또 디코딩해야할것이 나오는것을 볼수있었습니다. 그래서 한번더 해주었습니다. 이제 ("String.fromCharCode(104,68,117,102,106,100,107,105,49,53,54)")를 콘솔에 해줍니다 답:hDufjdki156

처음 보시면 이렇게 나옵니다 그래서저는 이거 그냥 건너뛰고 f12를 눌러줬습니다. 이렇게 나오는데요 지금보시면 pass가 인코딩되있는것을 볼수있습니다. 이제 인코딩 해석기를 돌려서 풀어주면 됩니다. %63%70%61%73%62%69%65%6e%64%75%72%70%61%73%73%77%6f%72%64 답:cpasbiendurpassword 이제 나가서 삽입해주면 10점 획득

root-me 4번은 로그인을 눌렀더니 이렇게떴습니다 그래서 저는 아무거나 삽입 해주고 패스워드칸도 그냥 건너 뛰어줍니다. f12를 누르면 이렇게 뜰겁니다. login.js 에 접속해보겠습니다. 이렇게 뜹니다 지금 보면 god하고 hidden이 네임과 패스워드라는것을 알수있습니다. 코드를 보시면 그러면 이제 나가서 입력해주었습니다. name칸에 GOD pw칸에 HIDDEN 을 넣어주었더니 위에 보이는것같이 떴습니다. 이제 밖에 pw칸에 HIDDEN을 넣어주면 끝 답:HIDDEN

3번문제에 들어가보니 이렇게 떠있었습니다 그래서 저는 아무거나 쳐봤습니다 그러면 이렇게 뜹니다 그리고 확인을 눌러주면 아무것도 안뜨는것을 볼수있었습니다. 저는 f12눌러주었더니 이렇게 뜹니다 그러면 여기 보시면 pass는 123456azerty라고 뜨는것을 볼수있었습니다. 이것을 root-me 정답란에 삽입해주면 풀리는것을 볼수있었습니다. 답:123456azerty

이 문제에서는 username 와 password를 쓰라고나와있습니다 이문제를 푸려면 f12눌러보면 login.js라는곳을 들어가야합니다. http://challenge01.root-me.org/web-client/ch9/login.js 들어가주시면 이렇게 뜹니다 pseudo = 4dm1n password=="sh.org" 이라고 써있습니다 이것을 로그인에 넣어주면 이렇게뜹니다 ! 이제 답을 삽입하면 끝납니다 답:sh.org http://challenge01.root-me.org/web-client/ch9/login.js challenge01.root-me.org