webhacking collection

역시 alert(document.domain);를 삽입하는 문제다. 를 입력하고 Search 버튼을 눌러보았다. 위와 같이 뜬다. 페이지 소스를 살펴보았다. 여기서 살펴보면, 입력한 스크립트가 큰따옴표 안에 막혀있어 제대로 작동하지 않았다는 것을 알 수 있다. 그 위에 option태그에는 큰따옴표가 없기 때문에, Japan을 로 변경해보았다. 위와 같이, Choose a country 부분이 바뀐 것을 확인할 수 있다. Search a place 부분에 아무 글자나 입력하고 Search를 클릭해보았다. 알림창이 성공적으로 뜬다.

지금 보면 alert(document.domain);을 자바스크립트에 출력하라고 한다. 1번에서 했던것 같지만 힌트를 보니 힌트에는 script를 추가하라고 한다. 한번 추가 해보았다 안된다? 저는 그래서 앞에 " 하나 추가를 해주었더니 풀렸다. " 끝! ㅎㅎ

지금 보면 문제에서 alert(document.domain);을 출력하라고 한다. 그래서 나는 이렇게 해주었다 이렇게 해주면 끝!​

들어가 보시면 이렇게 문제가있습니다. 이름을 보시면 stored1이라는데 stored이란 악성 스크립트가 서버 내에 존재하는 데이터베이스 또는 파일 등의 형태로 저장되어 있다가 사용자가 저장된 악성 스크립트를 조회하는 순간 발생하는 형태의 xss입니다. 이 stored는 사용자의 입력 과정에서 부재로 html을 그대로 출력하게 됩니다 예를 들어 를 넣었다 하면 html에서는 이것을 그대로 명령어로 받아들입니다. 이제 시작하겠습니다. 풀이: 저는 일단 도메인은 없는거같습니다 쿠키를 보면 아무것도 일어나지 않았습니다. 저는 그래서 서버를 이용해야 한다는것을 알았고 https://requestbin.net/ RequestBin — Collect, inspect and debug HTTP requests and..

일단 확인 누르고 그냥 관리자 도구로 가서 script에 들어가주었더니 function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"; var tab = pass_enc.split(','); var tab2 = pass.split(',');var i,j,k,l=0,m,n,o,p = "";i = 0;j = tab.length; k = j + (l) + (n=0); n = tab2.length; for(i = (o=0); i < (k = j = n); i++ ){o = tab[i-l];p += String.fromCharCode((o = tab2[i])); if(i == 5)break;} for(i..

첫화면엔 이렇게 뜹니다;; 일단 f12를 눌러 관리자도구를 열었더니 파일들이 있습니다 문제가 그렇듯 webpack에 들어가 줘야 하는것 같았습니다. src에 들어가줬더니 뭔가 4가지 파일이있었습니다 둘러 보다보니 // Did you know that comment are readable by the end user ? // Well, this because I build the application with the source maps enabled !!! // So please, disable source map when you build for production // Here is your flag : BecauseSourceMapsAreGreatForDebuggingButNotForProducti..

사이트를 들어가보니 아무것도 띄어있지않았습니다. 그래서 작업관리자를 열어줬더니 script칸에 É=-~-~[],ó=-~É,Ë=É

이문제를 들어가면 아무것도 나오지 않습니다. f12를 눌러주면 이렇게 뜰텐데요 전 문제와 같이 해주었더니 이렇게 또 디코딩해야할것이 나오는것을 볼수있었습니다. 그래서 한번더 해주었습니다. 이제 ("String.fromCharCode(104,68,117,102,106,100,107,105,49,53,54)")를 콘솔에 해줍니다 답:hDufjdki156

처음 보시면 이렇게 나옵니다 그래서저는 이거 그냥 건너뛰고 f12를 눌러줬습니다. 이렇게 나오는데요 지금보시면 pass가 인코딩되있는것을 볼수있습니다. 이제 인코딩 해석기를 돌려서 풀어주면 됩니다. %63%70%61%73%62%69%65%6e%64%75%72%70%61%73%73%77%6f%72%64 답:cpasbiendurpassword 이제 나가서 삽입해주면 10점 획득

root-me 4번은 로그인을 눌렀더니 이렇게떴습니다 그래서 저는 아무거나 삽입 해주고 패스워드칸도 그냥 건너 뛰어줍니다. f12를 누르면 이렇게 뜰겁니다. login.js 에 접속해보겠습니다. 이렇게 뜹니다 지금 보면 god하고 hidden이 네임과 패스워드라는것을 알수있습니다. 코드를 보시면 그러면 이제 나가서 입력해주었습니다. name칸에 GOD pw칸에 HIDDEN 을 넣어주었더니 위에 보이는것같이 떴습니다. 이제 밖에 pw칸에 HIDDEN을 넣어주면 끝 답:HIDDEN