H4cgm의 포렌식 문제입니다.H4CKING GAME SEASON2 H4CKING GAME h4ckingga.me   문제 파일은 .png 이고,flag 부분이 가려져서 보이지 않는다.  사진 속에 다른 사진이 들어있나 hxd로 확인해보았지만,아무것도 발견되지 않았다. 그럼 Steganography ??  StegOnline (georgeom.net)  StegOnline georgeom.net  위 사이트에서 사진을 조작하다보면 flag를 획득할 수 있따.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

WebGoat의 blind string sql injection 문제입니다.   blind numeric sql과 비슷하지만 이번에는 숫자가 아닌 string이다. pins 테이블에서 cc_number가 4321432143214321 인 name을 찾는 문제다. sql문으로 바꿔주면 101 and (SUBSTRING((select name from pins where cc_number=’4321432143214321’),1,1) > ‘?’)?에 알파벳 대소문자를 구분해 입력해보고값을 찾으면 1을 1씩 증가해서 문자열의 위치를 확인하면 된다.  먼저,name의 길이를 알기위해 101 and (SUBSTRING((select name from pins where cc_number=’43214321432143..

WebGoat의 blind numeric sql injection 문제입니다.  pins 테이블에서 cc_number가 1111222233334444인 pin 번호를 찾는 문제다.sql문으로 바꾸면~Select pin from pins where cc_number='1111222233334444'  pin 번호를 찾아야 하는 blind sql 문제니까 101 and (select pin from pins where cc_number='1111222233334444') > ? 101은 항상 참이기에 select pin의 값이 ?보다 크면 참이고 작으면 거짓이 된다.  먼저 pin이 몇자리 수인지 찾기 위해 0, 10, 100, 1000, ... 입력해보자.1000에서는 valid가 나왔는데 10000을 입..

WebGoat의 sql injection 분야에서 stage3 numeric 문제입니다.  문제 화면은 stage 1과 같다.WebGoat - stage 1 string sql injection (tistory.com) WebGoat - stage 1 string sql injectionWebGoat에서 sql injection 분야의 stage1 string sql injection 문제입니다.    sql 문자열을 삽입해서 인증을 우회하는 문제다.성공의 조건은(1) 올바른 비밀번호를 사용하지 않아야 하고,(2) Neville로 로그인dorigamja.tistory.com  sql 삽입을 통해 권한 부여를 우회하는 문제다.내가 larry인데, 목록 직원 페이지의 보기 기능의 매개변수에 sql 삽입을 사..