https://dreamhack.io/wargame/challenges/128/ mongoboard Description node와 mongodb로 구성된 게시판입니다. 비밀 게시글을 읽어 FLAG를 획득하세요. MongoDB < 4.0.0 dreamhack.io no를 구하는 문제이다. publish_date가 써있는 것을 보니 힌트일 것이다. no의 규칙성을 보면, 60e869ee1363ea8d2351e0d5 60e869f31363ea8d2351e0d6 ? 60e869fb1363ea8d2351e0d8 중간값 두글자와 마지막 한 글자를 제외하고 같다.우선 마지막 글자는 1씩 증가하므로 7일 것이다. 60e869__1363ea8d2351e0d7 클릭하면 secret document라고 나온다. 이 문서 ..
XSS 간단하게 정리 : XSS는 게시판이나 웹메일 등에 자바스크립트같은 스크립트를 삽입하여 개발자가 고려하지 않은 기능을 유발한다. 사용 script막아져있을땐: 사용 //컴퓨터는 스크립트 대소문자 신경 안쓰고 똑같이 실행시킨다. script를 lowercase로 아예 막아놨을때: 처럼 다른 태그를 이용한다. 왠 about이라고 묻는다면 특별히, about: 이나 chrome:// 스킴은 동작하지 않으므로 피해야 한다. 여기참고 https://developer.mozilla.org/ko/docs/MDN/Guidelines/Writing_style_guide 만약 script와 on(onerror, onload..)도 막아놨다면 --> iframe태그 이용 iframe의 srcdoc은 iframe웹 페이..
#!/usr/bin/python3 from flask import Flask, request, render_template, make_response, redirect, url_for, session, g from selenium import webdriver import urllib import os app = Flask(__name__) app.secret_key = os.urandom(32) try: FLAG = open('./flag.txt', 'r').read() except: FLAG = '[**FLAG**]' def read_url(url, cookie={'name': 'name', 'value': 'value'}): cookie.update({'domain':'127.0.0.1'}) try..
#!/usr/bin/python3 from flask import Flask, request, render_template, g import sqlite3 import os import binascii app = Flask(__name__) app.secret_key = os.urandom(32) try: FLAG = open('./flag.txt', 'r').read() except: FLAG = '[**FLAG**]' DATABASE = "database.db" if os.path.exists(DATABASE) == False: db = sqlite3.connect(DATABASE) db.execute('create table users(userid char(100), userpassword char..
#!/usr/bin/env python3 import os import shutil from flask import Flask, request, render_template, redirect from flag import FLAG APP = Flask(__name__) UPLOAD_DIR = 'uploads' @APP.route('/') def index(): files = os.listdir(UPLOAD_DIR) return render_template('index.html', files=files) // index.html 불러오기 @APP.route('/upload', methods=['GET', 'POST']) //get도 이용한다.(url노출) def upload_memo(): if reques..
1.dreamhack.io/ 해커들의 놀이터, Dreamhack 해킹과 보안에 대한 공부를 하고 싶은 학생, 안전한 코드를 작성하고 싶은 개발자, 보안 지식과 실력을 업그레이드 시키고 싶은 보안 전문가까지 함께 공부하고 연습하며 지식을 나누고 실력 향 dreamhack.io 2. webhacking.kr/ Webhacking.kr Index Welcome Stranger! Chatting Notice(en) [2021-04-16] Score of old challenges has been adjusted to 1/10. For a while now, new challenges will be added "without" notice. [2020-08-12] Replace chat feature with D..
