정보보안 엔지니어링

webhacking.kr 사이트의 16번 문제를 보면 다음과 같다.

어떤 정보도 볼 수 없으니 일단 페이지 소스를 보도록 하자.

mv() 함수와 kk() 함수가 정의되어 있다.

mv() 함수는 특정 키가 눌렸을 때 큰 별이 이동하는 것을 정의한 함수이고

kk() 함수는 작은 별을 생성해서 출력해주는 함수이다.

mv() 함수에서 동작하는 키 값을 보니 아스키값으로 되어 있는 것을 알 수 있다.

100, 97, 119, 115는 각각 d,a,w,s이고 각각 오른쪽, 왼쪽, 위, 아래 순으로 큰 별을 이동하도록 정의되어 있다.

124는 문자( | )로 페이지 이동이 이루어진다.

소스 분석을 통해서 아스키값이 124인 | 를 입력하면 다음과 같은 화면을 볼 수 있다.

Password가 출력이 됐다.

이 값을 제출하면 16번 문제가 풀린다.

webhacking.kr 사이트의 15번 문제를 보면 다음과 같다.

난감하기 그지없다.

아무런 정보 없이 알림창 하나만 나타나니 일단 burpsuite로 패킷을 잡아보자.

맨 아래줄에 password가 쓰여있다.

이 값을 제출하면 15번 문제가 풀린다.

webhacking.kr 사이트의 14번 문제를 보면 다음과 같다.

아무런 설명도 되어있지 않고 Editbox 하나와 버튼 하나가 있다.

뭘 의미하는 건지 모르기 때문에 일단 페이지 소스를 보자.

Edit box의 이름은 input_pwd라는 것을 알 수 있고 이를통해 패스워드를 입력해야 하는 것을 유추할 수 있다.

버튼을 클릭하면 ck() 함수가 호출되는 것을 알 수 있다.

ck() 함수를 보면 ul 변수에 url을 저장하고 indexOf() 함수를 이용해 ".kr" 문자열의 위치값을 저장한다.

".kr" 의 위치값이 저장된 ul에 30을 곱하고 입력받은 input_pwd의 값과 비교한다.

두 개의 값이 같으면 Password를 alert() 함수를 이용해 출력해준다.

현재 url은 http://webhacking.kr/~~~~~ 이다.

순서대로 세 보면 ".kr"의 위치는 17임을 알 수 있다.

* IT와 관련해서 숫자는 0부터 센다.

17*30의 값인 510을 입력하자.

다음과 같이 알림창으로 Password를 출력해준다.

이 값을 제출하면 14번 문제가 해결된다.