xmi1e-vir.log

🌱 Biginner문제링크기본 설정을 사용한 서비스입니다.로그인한 후 Organization에 플래그를 설정해 놓았습니다. 📌문제 파악제공되는 코드는 Dockerfile, deploy/defaults.ini 외에는 없다.VM을 생성하면 다음과 같은 웹사이트에 접속할 수 있다. 비밀번호와 아이디를 모르면 아무것도 할 수 없다. 📌문제 풀이Dockerfile을 열어보니 의미있는 내용은 없었다.반면, defaults.ini을 열어보니 계정 정보를 얻을 수 있었다. 해당 정보로 로그인 해서 문제의 지시대로 'Server Admin → Settings → auth.anonymous → org_name' 로 이동하면 flag 정보를 얻을 수 있다. 정말 어이없겠지만, 사실 나는 그냥 찍어서 admin/admi..

🌱 Biginner문제링크할로윈 파티를 기념하기 위해 호박을 준비했습니다!호박을 10000번 클릭하고 플래그를 획득하세요! 📌문제 파악정말로 호박을 10000번 클릭하는 문제이다.코드에서 클릭해야 하는 부분은 #jack-target 부분이다.코드를 좀 더 자세히 살펴보자.1. 변수 초기화pumpkin는 최종적으로 표시 될 텍스트 데이터를 암호화 해놓은 숫자 배열이다.counter는 클릭 횟수를 추적한다.pie는 연산에 사용되는 키 값으로, 동적으로 변한다.var pumpkin = [ 124, 112, 59, 73, 167, 100, 105, 75, 59, 23, 16, 181, 165, 104, 43, 49, 118, 71, 112, 169, 43, 53 ];var counter = 0;var pie..

🌱 Biginner문제링크특정 Host에 ping 패킷을 보내는 서비스입니다.Command Injection을 통해 플래그를 획득하세요.플래그는 flag.py에 있습니다. 📌문제 파악주어진 웹사이트는 시간안에 입력한 host에게 ping을 3번 보내는 기능을 가지고 있다.Command Injection 취약점 이란?취약한 애플리케이션을 실행 중인 서버에서 임의의 운영체제 명령을 실행할 수 있는 취약점을 의미ping 명령을 활용한 Command Injection에서는정상적인 작동을 위해 IP를 입력이후 다중 명령을 사용할 수 있또록 해주는 특수문자인 ; 또는 &&를 입력하고 원하는 명령을 입력하여 실행되게 할 수 있음📌풀이 방법ping을 보내는 코드는 아래와 같이 되어있다.원래는 호스트 이름에 공백이..

🌱 Biginner문제링크개발자 도구의 Sources 탭 기능을 활용해 플래그를 찾아보세요.플래그 형식은 DH{...} 입니다. 📌문제 파악해당 문제는 VM이 제공되지 않으며, 소스만 제공되는 것으로 보아 소스 내부에 답이 있을것이라고 생각했다.📌풀이 방법따라서 grep명령을 통해서 드림핵의 플래그 형식인 DF가 존재하는지 확인해보았다.grep -Rni --color=auto "DF” 명령을 입력하자 아래와 같이 플래그가 나왔다.