Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 |
Tags
- 화이트햇스쿨
- session hijacking
- WEB
- 화이트해커
- 보안
- 정보보안
- 한국정보기술연구원
- 웹해킹
- type juggling
- KITRI
- 타입 변환 취약점
- WhiteHatSchool
- 웹
- cookie
- Cross Site Script
- webhacking
- php
- cookie tampering
- cybersecurity
- WarGame
- 보안교육
- web-misconf-1
- file download vulnerability
- loose comparison
- dev-tools
- path traversal
- 드림핵
- php7.4
- Dreamhack
- 워게임
Archives
- Today
- Total
목록Server (1)
xmi1e-vir.log
[Dreamhack] wargame 'web-misconf-1' write-up
🌱 Biginner문제링크기본 설정을 사용한 서비스입니다.로그인한 후 Organization에 플래그를 설정해 놓았습니다. 📌문제 파악제공되는 코드는 Dockerfile, deploy/defaults.ini 외에는 없다.VM을 생성하면 다음과 같은 웹사이트에 접속할 수 있다. 비밀번호와 아이디를 모르면 아무것도 할 수 없다. 📌문제 풀이Dockerfile을 열어보니 의미있는 내용은 없었다.반면, defaults.ini을 열어보니 계정 정보를 얻을 수 있었다. 해당 정보로 로그인 해서 문제의 지시대로 'Server Admin → Settings → auth.anonymous → org_name' 로 이동하면 flag 정보를 얻을 수 있다. 정말 어이없겠지만, 사실 나는 그냥 찍어서 admin/admi..
WARGAME/WEB
2025. 9. 19. 19:43