https://dreamhack.io/wargame/challenges/44 command-injection-1 특정 Host에 ping 패킷을 보내는 서비스입니다. Command Injection을 통해 플래그를 획득하세요. 플래그는 flag.py에 있습니다. Reference Introduction of Webhacking dreamhack.io 📌 내풀이 일단 문제 제목부터 command injection이라고 힌트를 주고 있고, 문제 설명을 읽어보니 특정 host에 ping 패킷을 보내는 서비스고 command injection을 통해 플래그를 획득하라고 쓰여있다. 일단 파일을 다운받았다. 내용을 보니까 전형적으로 command injection에서 많이 쓰이는 형태인 것 같다. 서버를 생성해서 ..

xss-1 | 워게임 | Dreamhack xss-1 여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다. XSS 취약점을 이용해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다. 플래그 형식은 DH{...} 입니다. 문제 수정 내역 dreamhack.io 📌 풀이 2번째 문제이다. 서버를 생성하고 파일을 다운받았다. 여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다. XSS 취약점을 이용해 플래그를 획득하세요. 해당 문제에 대한 설명이다. 서버에 들어가니 1번문제랑 비슷한 화면이 떴다. 우선 vuln(xss) page를 눌러봤다. memo를 눌러봤다. 또 hello네..🤣 flag도 눌러봤다. 별다른게 없다. 여기서는 얻을 정보를 잘 모르겠어서 잠시 ..

이번주 웹해킹 학습내용은 XSS(CROSS SITE SCRIPTING) 이다. XSS(CROSS SITE SCRIPTING)란? 대표적인 클라이언트 사이드 취약점 중 하나로 공격자가 웹 리소스에 악성 스크립트를 삽입하여 이용자의 웹 브라우저에서 해당 스크립트 를 실행 시키는 공격이다. 웹 서버와 클라이언트 간의 통신 방식인 HTTP 프로토콜 동작 과정에서 발생 공격자는 XSS 취약점을 통해 특정 계정의 세션을 탈취하고, 해당 계정으로 임의의 기능을 수행할 수 있다. 📌 풀이 https://dreamhack.io/wargame/challenges/438 DOM XSS Description Exercise: DOM XSS에서 실습하는 문제입니다. 문제 수정 내역 2023.08.11 Dockerfile 제공 ..