미숫가루빙수

참고 자료 [4]보안 로그 분석 (velog.io) [4]보안 로그 분석보안 로그 분석velog.io보안관제 로그분석 : 네이버 블로그 (naver.com) 보안관제 로그분석-로그란 시스템의 모든 기록을 담고있는 정보 시스템 성량, 오류, 경고 및 운영정보에 관한 중요정보를 담...blog.naver.com[보안] 로그 분석 (tistory.com) 해킹시도 차단(긴급대응) -> 상황전파 (-> 피해분석) 침해사고 분석 (상황전파 ->) 피해분석 -> 해킹사고 원인 분석 -> " data-og-host="2-juhyun-2.tistory.com" data-og-source-url="https://2-juhyun-2.tistory.com/465" data-og-url="https://2-juhyun-2.t..

풀기 전에 문제를 간단하게 읽어본다 admin계정으로 로그인을 하여 플래그를 얻는 문제  #!/usr/bin/python3from flask import Flask, request, render_template, make_response, redirect, url_forapp = Flask(__name__)try: FLAG = open('./flag.txt', 'r').read()except: FLAG = '[**FLAG**]'users = { 'guest': 'guest', 'user': 'user1234', 'admin': FLAG}session_storage = {}@app.route('/')def index(): session_id = request.cookies...

풀기 전에 문제를 간단하게 읽는다. path traversal의 취약점을 파악해/api/flag에 있는 플래그를 얻는 문제  #!/usr/bin/python3from flask import Flask, request, render_template, abortfrom functools import wrapsimport requestsimport os, jsonusers = { '0': { 'userid': 'guest', 'level': 1, 'password': 'guest' }, '1': { 'userid': 'admin', 'level': 9999, 'password': 'admin' }}def inter..

풀기 전에 문제를 읽어본다. 플래그 파일인 XD를 읽어야하는 문제  #!/usr/bin/env python3from flask import Flask, requestimport osapp = Flask(__name__)@app.route('/' , methods=['GET'])def index(): cmd = request.args.get('cmd', '') if not cmd: return "?cmd=[cmd]" if request.method == 'GET': '' else: os.system(cmd) return cmdapp.run(host='0.0.0.0', port=8000)문제에 필요한 코드  문제 창을 들어가보면?cmd=[cmd..

풀기 전에 문제를 읽어본다. 호박을 10000번 클릭할 시 플래그를 얻을 수 있는 문제이다.    문제로 들어가면 다음과 같이 호박이 있다. 호박을 클릭해주면 하단에 있는 숫자가 줄어든다. 직접 10000을 클릭해서 플래그를 얻는게 아니라코드를 짜서 10000번이 돌아가도록 해줘야한다. $(function() { $('#jack-target').click(function() { counter += 1; if (counter 문제를 풀 때 참고할 수 있는 코드이다. 이 코드를 이용해 직접 코드를 작성해보았다.for (var i = 0; i  작성한 코드를 콘솔 창에 넣어주면플래그를 얻을 수 있다.

풀기 전에 문제를 읽는다. SSRF의 취약점을 이용해서 플래그를 얻는다플래그는 /app/flag.txt에 있다. #!/usr/bin/python3from flask import ( Flask, request, render_template)import http.serverimport threadingimport requestsimport os, random, base64from urllib.parse import urlparseapp = Flask(__name__)app.secret_key = os.urandom(32)try: FLAG = open("./flag.txt", "r").read() # Flag is here!!except: FLAG = "[**FLAG**]"@app..

풀기 전에 문제를 간단하게 읽어본다. File Download의 취약점을 파악해flag.py에서 플래그를 얻는 문제이다.  #!/usr/bin/env python3import osimport shutilfrom flask import Flask, request, render_template, redirectfrom flag import FLAGAPP = Flask(__name__)UPLOAD_DIR = 'uploads'@APP.route('/')def index(): files = os.listdir(UPLOAD_DIR) return render_template('index.html', files=files)@APP.route('/upload', methods=['GET', 'POST'])de..

풀기 전에 문제를 간단하게 읽어본다. php로 작성된 파일을의 취약점을이용해 플래그를 얻는 문제이다.  0 ) { echo "Error: " . $error . ""; }else { if (file_exists($directory . $name)) { echo $name . " already exists. "; }else { if(move_uploaded_file($tmp_name, $directory . $name)){ echo "Stored in: " . $directory . $name; } } } }else { echo "Error !"; ..

풀기 전에 문제를 간단하게 읽는다. ping 패킷을 보내 플래그를 얻는 문제이다.플래그는 flag.py에 있다. #!/usr/bin/env python3import subprocessfrom flask import Flask, request, render_template, redirectfrom flag import FLAGAPP = Flask(__name__)@APP.route('/')def index(): return render_template('index.html')@APP.route('/ping', methods=['GET', 'POST'])def ping(): if request.method == 'POST': host = request.form.get('host') ..

시작하기 전에 문제를 간단하게 읽는다.NoSQL INJECTION을 이용해플래그를 얻는 문제이다.   const express = require('express');const app = express();const mongoose = require('mongoose');mongoose.connect('mongodb://localhost/main', { useNewUrlParser: true, useUnifiedTopology: true });const db = mongoose.connection;// flag is in db, {'uid': 'admin', 'upw': 'DH{32alphanumeric}'}const BAN = ['admin', 'dh', 'admi'];filter = function(d..