https://dreamhack.io/wargame/challenges/44 command-injection-1 특정 Host에 ping 패킷을 보내는 서비스입니다. Command Injection을 통해 플래그를 획득하세요. 플래그는 flag.py에 있습니다. Reference Introduction of Webhacking dreamhack.io 📌 내풀이 일단 문제 제목부터 command injection이라고 힌트를 주고 있고, 문제 설명을 읽어보니 특정 host에 ping 패킷을 보내는 서비스고 command injection을 통해 플래그를 획득하라고 쓰여있다. 일단 파일을 다운받았다. 내용을 보니까 전형적으로 command injection에서 많이 쓰이는 형태인 것 같다. 서버를 생성해서 ..

1주차_현대암호학 기초 (tistory.com) 1주차_현대암호학 기초 1. 정수와 나눗셈 2. 소수와 소인수분해 3. 모듈러 연산 & 합동 4. 𝑍𝑛 & 𝑍𝑛 [ 암호와 대수적 구조 ] 이 단원 [ 학습 목표 ] 는 정수와 소수의 성질에 대해 이해한다. 합동의 정의와 모듈러 연산 jootopia0808.tistory.com 1주차 내용에서 살펴보면 기초정수론을 학습했는데, 10주차는 기초 대수학을 학습했다. 📌 Group (군) Group (군) 정의 공개키 암호 알고리즘이 정의되는 수학적 구조 RSA 암호, ElGamal 암호, DSA 전자서명 타원곡선 Group의 정의 공집합이 아닌 집합 𝐺 와 𝐺의 원소에 대해 다음을 만족하는 연산 ⊗가 정의되면 (𝐺,⊗) ..

보호되어 있는 글입니다.

csrf-2 | 워게임 | Dreamhack csrf-2 여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다. CSRF 취약점을 이용해 플래그를 획득하세요. 문제 수정 내역 2023.07.18 css, html 제공 및 read_url() 코드 일부가 변경되었습니다. Referen dreamhack.io 마지막 문제이다. 📌 내풀이 우선 문제를 풀기 전에 전체적으로 문제를 훑어봤다. 이전 문제와 마찬가지로 frame, script, on이 *로 필터링 되는 것을 알 수 있다. 로그인을 시도해보자. 이 이후는 이미지태그를 사용하는 것과 비밀번호를 이용해서 문제를 풀어야한다는 것 까지 파악하고 도움을 조금 받았다. 이부분을 활용해서 pw의 내가 원하는 비밀번호를 넣어 바꿔주면 로그인이 할 수 있..

csrf-1 | 워게임 | Dreamhack csrf-1 여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다. CSRF 취약점을 이용해 플래그를 획득하세요. 문제 수정 내역 2023.07.18 css, html 제공 및 read_url() 코드 일부가 변경되었습니다. Referen dreamhack.io 📌 내풀이 CSRF란? CSRF(Cross-Site Request Forgery)는 악성 웹 사이트 공격 유형이다. 이 공격 유형은 웹 사이트가 신뢰하는 사용자로부터 권한 없는 요청을 전송한다. CSRF 공격에 대해 지난 시간에 배웠는데 위 공격은 공격자가 서버를 통해서 이용자가 모르는 사이에 어떠한 행동을 하도록 유도하는 공격이라고 이해했다. [ 추가 학습 자료 ] CSRF(Cross-Si..

XSS Filtering Bypass | 워게임 | Dreamhack XSS Filtering Bypass Description Exercise: XSS Filtering Bypass에서 실습하는 문제입니다. 문제 수정 내역 2023.08.04 Dockerfile 제공 dreamhack.io 📌 내풀이 두번째문제를 풀어보겠다. 파일을 열어봤을 때 내용은 아래와 같았다. #!/usr/bin/python3 from flask import Flask, request, render_template from selenium import webdriver from selenium.webdriver.chrome.service import Service import urllib import os app = Flask(..