https://dreamhack.io/wargame/challenges/6/ cookie 쿠키로 인증 상태를 관리하는 간단한 로그인 서비스입니다. admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다. Reference Introduction of Webhacking dreamhack.io #1 문제 파일을 다운로드해보니 이런 코드가 보였다. #!/usr/bin/python3 from flask import Flask, request, render_template, make_response, redirect, url_for app = Flask(__name__) try: FLAG = open('./flag.txt', 'r').read() except: FLAG = '[**FLAG**]' us..

1. 문제 https://dreamhack.io/wargame/challenges/96 Carve Party Description 할로윈 파티를 기념하기 위해 호박을 준비했습니다! 호박을 10000번 클릭하고 플래그를 획득하세요! dreamhack.io - 호박을 10000번 클릭하면 플래그를 획득할 수 있다고 문제에 제시되어 있다. 2. 해결 과정 (1) 문제 파일 다운로드 - jack-o-lantern이라는 파일명의 html 문서가 보인다. - pumpkin을 클릭하라는 문구와 호박 그림, 그 밑에는 클릭수만큼 줄어드는 문자열이 보인다. (2) 코드 확인 - F12를 눌러 개발자 도구를 통해 코드를 확인한다. $(function() { $('#jack-target').click(function () ..

1. 문제 https://dreamhack.io/wargame/challenges/37 file-download-1 File Download 취약점이 존재하는 웹 서비스입니다. flag.py를 다운로드 받으면 플래그를 획득할 수 있습니다. Reference Introduction of Webhacking dreamhack.io File Download 취약점이 존재하는 웹 서비스라고 제시되어 있다. 2. 해결 과정 (1) 문제 파일 다운로드 (2) 코드 확인 - app.py 파일 확인 #!/usr/bin/env python3 import os import shutil from flask import Flask, request, render_template, redirect from flag import ..

1. 문제 https://dreamhack.io/wargame/challenges/409 session-basic Description 쿠키와 세션으로 인증 상태를 관리하는 간단한 로그인 서비스입니다. admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다. 플래그 형식은 DH{...} 입니다. Reference Background: Cook dreamhack.io - admin 계정으로 로그인에 성공하면 된다. 이번 문제는 쿠키와 세션에 대한 문제라 쿠키와 세션에 대해 정리해보았다. HTTP 통신에 쓰이는 쿠키와 세션에 대한 이해 2. 해결 과정 (1) 문제 파일 다운로드 #!/usr/bin/python3 from flask import Flask, request, render_templat..

1. 문제 https://dreamhack.io/wargame/challenges/336 [wargame.kr] login filtering Description text I have accounts. but, it's blocked. can you login bypass filtering? dreamhack.io 계정을 가지고 있는데 차단 당했다. 필터링을 우회해서 로그인해줄 수 있냐고 물어본다. 2. 해결 과정 (1) 문제 파일 다운로드 - 다운로드할 필요가 없다는 제목의 텍스트 문서가 보인다 . 실제로 열어보니 파일에 아무것도 보이지 않았다. (2) 페이지 접속 ID와 PW를 입력하는 로그인 창이 뜬다. 일단 아무 정보나 넣어보았다. 화면 왼쪽 상단에 'wrong..'이라는 문자열이 출력된다. (3..