root-me challenges - Web Server : 8 Install files Root-me 웹서버 챌린지 8번 Install files 문제 풀이입니다! You know phpBB?? No!!!! phpBB에 정체를 알아보러 가야겠군요 간단하게 확인해보니 전자게시판 프로그램이군요~! 일단 Start the challenge~! Ctrl + U를 하니 주석처리된 주소가 하나 존재하네요 페이지는 존재하는데 아무런 동작을 하지 않는군요 phpBB 에 설치파일 관련 취약점이 존재하는 것으로 추측해볼 수 있습니다. Quick install 설명서에 설치 URL 주소가 보이네요 위 방법을 이용해서 접근해볼까요?! 봉쥬르~ 프랑스어가 보이네요 phpBB를 설치 할 수 없으니 인증 패스워드를 던져주네요 ㅎㅎ 미션 클리어~! War-Game/Root-me 6년 전
root-me challenges - Web Server : 7 HTTP verb tampering Root-me 웹서버 챌린지 7번 HTTP verb tampering 문제 풀이입니다! HTTP 인증 우회 문제네요 Start the challenge~! 로그인 창이 발생하네요 계정정보는 전혀 알지 못하니 다른 우회 방법이 있나보네요 OWASP에서 HTTP Verb Tampering 테스트 방법을 친절하게 설명해놓았네요 ㅎㅎ HTTP 메소드를 변조하여 전송한 결과!!! 7번 문제 미션 클리어~! War-Game/Root-me 6년 전
root-me challenges - Web Server : 6 HTTP Headers Root-me 웹서버 챌린지 6번 HTTP Headers 문제 풀이입니다! 6번 문제의 주제는 HTTP 헤더이기에 HTTP 헤더를 유심하게 살펴봐야겠네요. Start the challenge~! 페이지를 접속하니 HTTP 응답헤더에서 변조가 필요한 문제로 추측되네요~ 웹 프록시 도구를 이용해서 패킷캡처한 결과 Header-RootMe-Admin: none 필드가 눈에 띄네요 여러분이 예상한대로 변조하여 포워딩한 결과 미션클리어~! War-Game/Root-me 6년 전
root-me challenges - Web Server : 5 HTTP Directory Indexing Root-me 웹서버 챌린지 5번 HTTP Directory Indexing 문제 풀이입니다! 5번 문제는 HTTP 디렉토리 인덱싱 취약점 관련 문제인가봅니다. CTRL+U 소스보기가 힌트로 나와있네요 Start the challenge~! 친절하게 소스보기에서 힌트로 보이는 html 파일이 include되어있네요 해당 html로 접근하니 여기가 아닌가보네요... 디렉토리 인덱싱 취약점이 있으니 취약점을 이용해볼까요? 인덱싱 취약점을 이용해서 요리조리 찾아보니 패스워드를 획득하였습니다~! 5번 문제 미션 클리어~! War-Game/Root-me 6년 전
root-me challenges - Web Server : 4 Backup file Root-me 웹서버 챌린지 4번 Backup file 문제 풀이입니다! php 백업파일 관련 문제로 보입니다. Start the challenge ~!!! index.php 로그인 페이지가 보이네요 백업파일이면 .bak, .old 등 운영체제별 여러 백업파일 확장자가 존재합니다. 근데 404 에러 ...ㅠㅠ 구글신을 이용하여 검색한 결과! php source code disclosure 취약점이 있었네요 해당 취약점을 이용하여 계정정보 획득하면 클리어 되는 문제네요! 해당 패스워드를 4번 문제 패스워드 입력란에 입력하면 미션 클리어~! War-Game/Root-me 6년 전
root-me challenges - Web Server : 3 User-agent Root-me 웹서버 챌린지 3번 User-agent 문제 풀이입니다! Admin is really dumb....관리자는 정말 바보라네요 ㅎㅎ Start the challenge를 해볼까요~? 아무 행동도 하지 않았는데 잘못된 user-agent라고 나오네요user-agent를 통해 인증을 하는 문제로 추측할 수 있네요 웹 프록시 도구를 이용해서 확인해보니 별다른 이상 없는 HTTP 헤더네요User-agent 필드값을 변경해서 인증을 받으면 되는 문제로 예상되네요 짜잔~! 3번 문제까지는 무난하게 클리어! War-Game/Root-me 6년 전
root-me challenges - Web Server : 2 Weak Password Root-me 웹서버 챌린지 2번 Weak Password 문제 풀이입니다! 2번문제의 주제는 약한 패스워드입니다.관리자 계정 또는 사용자 계정 패스워드를 디폴트로 사용하거나 추측하기 쉬운 패스워드로 설정하여 사용하는 관리자 또는 사용자들이 많습니다. 패스워드를 추측하여 Brute Force 공격을 통해 2번 문제를 풀었습니다.사실 Brute Force 까지도 필요없는 문제이지요.. Start the challenge 버튼을 누르시면 위와 같이 계정정보 로그인 입력창이 나옵니다.웹 프록시 도구를 이용하여 admin 계정의 패스워드를 맞추면 됩니다. admin 계정의 패스워드를 validation password에 입력하면 미션클리어!~ War-Game/Root-me 6년 전
root-me challenges - Web Server : 1 HTML 워게임 사이트 Root-me 웹서버 챌린지 1번 HTML 문제 풀이입니다! Start the challenge 버튼을 누르시면 아래 그림과 같이 나옵니다.Password 입력을 하면 로그인이 가능한 상태의 페이지가 나오네요~ HTML 문제니까 페이지 소스보기를 하니 짜잔!첫번째 문제라서 It's really too easy ! War-Game/Root-me 6년 전