분류 전체보기 (123) 썸네일형 리스트형 root-me : web-client / 7) Javascript - Native code [write-up] 강력한 한마디.. 노 단서 일단 개발자 도구를 습관적으로 연다. 아찔.. 난독화가 되어있는 듯 하다. 일부를 떼어서 구글링해본다. 문제 이름이 javascript - native code 인 점을 감안하면서 구글링 하다가 이 문자열이 난독화된 js 코드라는 것을 알게되었다. 또한 크롬 콘솔에서 끝() 을 지우고.toString()을 입력하면 복호화 시킬 수 있다고 한다. 출처- https://mandu-mandu.tistory.com/231 참고해서 사용해보니 복호화가 되어 문자열이 보였다. 정말 꿀팁인 것 같다. 🍯🍯🍯🍯 따라서 flag : toto123lol root-me : web-client / 6) Javascript - Obfuscation 2 [write-up] 아무것도 없을 땐 개발자 도구. 이전에 풀었던 문제와 비슷한 듯 하다. 디코딩 해보자. 한번 더 숫자들을 가지고 문자로 변환하면 되는 것 같다. 아스키 코드표를 보고 문자로 변환해주면 hDufjdki156 flag 로 입력해보면, 성공! flag : hDufjdki156 root-me : web-client / 5) Javascript - Obfuscation 1 [write-up] 역시 개발자 도구를 사용한다. 두둥 if 문을 보면 pass를 unescape 해 password 입력 폼에 입력하면 된다는 것 같다. * escape() - 알파벳과 숫자 및* , @, - , _ , + , . , / 를 제외한 문자를 모두16진수 문자로 변환 unescape() - 그 역과정 출처: https://delirussum.tistory.com/16 어쨋든 온라인 디코더에 pass 를 입력해 변환해보자. password 로 보이는 문자열로 디코딩된 것 같다. 입력해보면, 이 password 를 flag 로 사용하라는 문구. flag : cpasbiendurpassword root-me : web-client / 4) Javascript - Authentication 2 [write-up] 로그인 인증 관련 문제인 것 같다. 우리의 친구 개발자 도구 살펴보다가 별다른 힌트를 찾을 수 없어서 login.js 로 이동해보았다. TheLists는 GOD:HIDDEN. if 문에서 username 에 TheUsername 을, password 에 ThePassword 를 각각 입력하는 것을 확인, :를 구분자로 사용하여 split하기 때문에 username은 GOD, password 는 HIDDEN이 된다. 다시 문제html 로 돌아와 login 버튼을 누르고 찾은 값들을 입력하면 로그인 성공, 로그인에 사용한 password 를 flag 로 사용하면, flag : HIDDEN root-me : web-client / 3) Javascript - Source [write-up] 역시 개발자도구를 연다. 훑어보던 중 pass == 123456azerty 발견. flag : 123456azerty root-me : web-client / 2) Javascript - Authentication [write-up] 인증 관련 문제인 것 같다. 역시 개발자 도구로 열어보자. username 는 pseudo, password 는 password 라는 것 외에 별다른 특이사항이 없어보인다. 하단에 로그인 버튼을 누르면 아마 login.js 의 Login() 로 값을 전달하는 것 같다. login.js 를 확인해보자. 문제 url 끝에 /login.js 를 입력해서 이동, username = pesudo = 4dm1n password = password = sh.org 확인 후 필드에 입력. password로 쓰인 sh.org 를 flag 로 사용하라는 문구인 것 같다. 성공! root-me : web-client / 1) HTML-disabled buttons [write-up] 19문제 중 첫번째 문제를 풀어보자. 문제 풀이를 시작해보자. 웹사이트가 일시적으로 닫혔다는 문구가 쓰여 있고 입력 필드는 입력이 불가능하게 되어있다. 개발자 도구로 확인을 해보자. 텍스트 입력 폼과 버튼 폼이 disabled 되어있는 것을 볼 수 있다. disabled 를 지워서 입력 폼을 활성화 시킨 후 아무 값이나 입력해보았다. 생각보다 너무 간단하게 flag 획득! flag : HTMLCantStopYou xss-game / Level5 : Breaking protocol [write-up] 이 level 에서의 제목이 힌트이며, signup 프레임의 소스를 보면서 url 파라미터가 어떻게 사용되는지 보도록 할 것. onclick 핸들러 없이 자바 스크립트 실행이 가능할지? 정도의 힌트가 주어졌다. 일단 url 에 alert()를 다양하게 넣어보자. http://xss-game.appspot.com/level5/frame/signup?next=alert('1'); 이렇게 입력하고 go 버튼을 눌러도 안되고, next 라는 href 를 눌러도 alert 가 뜨지 않는다. 구글링을 통해 alert() 앞에 javascript: 를 입력해 해결할 수 있다는 것을 알게 되었다. http://xss-game.appspot.com/level5/frame/signup?next=javascript:aler.. 이전 1 ··· 5 6 7 8 9 10 11 ··· 16 다음
