윱

[문제]

[문제 풀이]

• 보다시피 문제의 이미지가 제대로 보이지 않는다는 것을 확인할 수 있습니다.
• 그래서, HxD 프로그램을 이용해서 분석해 보니 header에 JF뒤에 IF 헤더가 빠져있다는 것을 확인할 수 있습니다.

• 그래서 헤더에 49 46을 추가를 해준 뒤 저장을 했습니다.
• 그 결과, 플래그를 획득할 수 있었습니다!

FLAG: ewha{i_love_E_CooK1e}

[문제]

[문제 풀이]

• 처음에는 먼저 이미지를 분석했지만 플래그를 획득할 수 없어서 Steganography Online 툴을 이용해서 이미지를 decode 하니 숨겨진 메시지를 발견할 수 있었습니다.

FLAG: 7her3_IS_@1W4Y$_MOR3_th@N_MEEtS_thE_Eye

[문제]

[문제 풀이]

• 이번에는 Image Steganography 툴을 이용해서 이미지를 분석했고 바로 플래그를 획득할 수 있었습니다.

FLAG: ewha{Gr33n1886}

[문제]

[문제 풀이]

• 먼저 여러 가지 툴을 이용해서 이미지를 분석하고 String Extraction도 해봤지만 플래그를 얻을 수 없었습니다.
• 그래서, HxD 프로그램을 이용해서 png 파일을 분석해 보니 Header와 Footer가 잘 있지만 footer 뒤에 문자열이 더 있는 걸 보고 그 부분을 따로 빼서 moon.zip 파일로 저장을 해줬습니다.

• 압축해제를 하려고 하니 암호를 입력하라고 해서 비번을 찾아야 했나 했는데 비번은 moon이었습니다..
• 압축해제까지 완료하니 플래그 텍스트 파일을 얻을 수 있었습니다.

FLAG: sun{0kay_it_is_a_m00n}

https://29a.ch/photo-forensics/#forensic-magnifier

[문제]

[문제 풀이]

• 먼저 Forensically 툴을 이용해 이미지를 분석했습니다.

• 바로 플래그를 발견할 수 있었습니다.

FLAG: sun{RE4DY_THE_4CID_M4GNET!}

[문제]

[문제 풀이]

• 이미지는 많이 변조된 거 같아 이번에는 Image Steganography 툴을 이용해서 이미지를 분석했습니다.

• 분석해 보니 이미지에서 플래그를 발견할 수 있었습니다.

FLAG: tjctf{th3_f0x_jump3d_0v3r_m3}

[문제]

[문제 풀이]

• 먼저 이미지 안에 플래그가 숨겨져 있나 하고 Forensically 툴을 이용해서 분석했지만 flag를 발견할 수 없었습니다.

• 그래서, 문제에서 힌트를 얻어 플래그가 파일 안에 숨겨져 있다고 생각을 해서 String Extraction 해본 결과, 플래그로 보이는 문자열을 발견했습니다.

FLAG: ABCTF{forensics_1_tooo_easy?}

[문제]

[문제 풀이]

• 이번에는 Image Steganography 툴을 이용해서 이미지를 분석했습니다.
• 분석한 결과, 이미지에 빨간색 글씨로 쓰여있는 플래그를 발견할 수 있었습니다.

FLAG: tjctf{0dd5_4nd_3v3n5}

[문제]

[문제풀이]

• 먼저 이미지에 숨겨진 flag가 있나 하고 Forensically 툴을 이용해서 분석을 해보았지만 딱히 flag를 발견할 수 없었습니다.

• 그래서, 이미지에 숨겨진 문자열이 있을 거 같아 String Extraction 해본 결과 flag로 보이는 문자열을 발견했습니다.

FLAG: h1d1ng_in_4lm0st_pla1n_sigh7

1. WEB HACKING

웹 해킹이란?

: 웹 서비스 상에서 발생될 수 있는 모든 보안상의 취약점을 이용한 악의적인 행위

• 웹: 인터넷을 기반으로 구현된 서비스 중 HTTP를 이용하여 정보를 공유하는 서비스
• HTTP: Hyper Text Transfer Protocol. 웹 상에서 서로 통신을 하기 위해 정해둔 일종의 규칙

웹 서비스의 진화

단순 정보 전달 → 금융, 쇼핑, 협업 등 일상의 많은 부분을 맡음

2. 개발자 도구

브라우저 개발자 도구

웹 개발을 위한 도구

• HTML과 CSS 코드를 브라우저에서 수정하고 바로 결과 확인
• 자바스크립트 코드 디버거 제공
• 서버와 오가는 HTTP 패킷을 상세히 보여주므로 프로토콜 상에서 발생하는 문제도 쉽게 발견 가능

→  웹 서비스를 진단하는 데 도움이 되는 도구인 만큼, 웹 취약점을 이용하려는 공격자에게도 유용하게 사용될 수 있다!

• Elements: 페이지를 구성하는 HTML 검사
• Console: 자바 스크립트를 실행하고 결과를 확인할 수 있음
• Sources: HTML, CSS, JS 등 페이지를 구성하는 리소스를 확인하고 디버깅할 수 있음
• Network: 서버와 오가는 데이터를 확인할 수 있음
• Application: 쿠키를 포함하여 웹 애플리케이션과 관련된 데이터를 확인할 수 있음

3. SQL INJECTION

SQL 인젝션이란?

DBMS에서 사용하는 질의 구문인 SQL을 삽입하는 공격

• DBMS: DataBase Management System

SQL 인젝션 기법

• Terminating Query 방식
• In-line Query 방식

정상 로그인

TERMINATING QUERY

IN-LINE QUERY

ID를 알고 있는 경우