| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- UnCrackable
- SQL INJECTION
- Frida
- 서울
- webhacking.kr
- 블라인드 인젝션
- 프리다
- jeb
- 모의해킹
- 매물
- 웹해킹
- 스마트폰
- ADB
- Los
- NOX
- 부동산분석
- 전세
- 호갱노노
- Blind Injection
- 일기
- 후킹
- 부동산
- APKManager
- 아파트실거래가
- 아파트
- 투자
- 월세
- 안드로이드
- Lord of SQLInjection
- Mid()
- Today
- Total
목록분류 전체보기 (42)
일단 쓰고보자
[los] iron_golem
#문제 #문제 의도 - 입력 값 필터링 규칙 (pw) if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~"); if(preg_match('/sleep|benchmark/i', $_GET[pw])) exit("HeHe"); 1) prob 2) _ 3) . 4) () 5) sleep 6) benchmark - 목표 필터링을 사용하지 않거나 우회하여 쿼리 결과가 존재하면 해결 #확인사항 - 문제 코드를 잘 보면 여느 블라인드 인젝션과는 다르게 Hello admin, Hello guest 등 쿼리 결과에 따라 참/거짓을 판별할 수 있는 문구를 출력해주지 않아서 다른 방법을 찾아봐야 한다. 우선 의심 드는 부분은 1) Time based SQL In..
[los] dragon
#문제 #문제 의도 - 입력 값 필터링 규칙 (pw) if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~"); 1) prob 2) _ 3) . 4) () - 목표 필터링 및 입력 값이 주석처리된 것을 우회하여 결과 값이 admin 이면 해결 #확인사항 - 이 문제의 관건은 # 주석을 우회해야한다는 것이다. 우선 기본적으로 주석의 특징을 알아봐야 우회할 수 있을 것 같다. 1) # : 한 줄 주석 처리 2) --(공백) : 한 줄 주석 처리 3) /**/ : /*와 */ 사이 내용 모두 주석처리 - 힌트라면 한 줄에 대한 주석을 처리한다는 내용이 되겠다. - 게다가 쿼리 내 개행문자는 쿼리결과에 영향을 주지 않는 것을 알 수 있다. (아래 표..
[los] xavis
#문제 #문제 의도 - 입력 값 필터링 규칙 (pw) if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~"); if(preg_match('/regex|like/i', $_GET[pw])) exit("HeHe"); $_GET[pw] = addslashes($_GET[pw]); 1) prob 2) _ 3) . 4) () 5) regex 6) like 7) addslashes() - 목표 필터링 우회하여 블라인드 인젝션을 통해 admin 패스워드를 알아내자 #확인사항 - 기본적으로 제한했던 문자 외 regex와 like가 추가되었는데, regex는 왜 추가됐는지 잘 모르겠다 ㅎㅎ... - 필터링 문자에 싱글쿼터(')나 더블쿼터(") 등 다 열려있..
ADB와 연결 된 device가 unauthorized 상태일 때
간혹 ADB를 사용하다 보면 아래처럼 에러날 때가 있다. 뭐 인증이 안됐다는데 ADB 명령어가 하나도 안 먹는다. "adb devices" 명령어로 현재 연결된 device를 확인해보면 unauthorized 라고 표기된다. (원랜 device) ADB를 워낙 자주 쓰다보니 이런 식으로 가끔 에러나면 당황해서 어떡해야되나 싶은데, 이럴 때마다 시간 낭비하면 안되니까 간단한 해결방법을 알아보자. 1. USB 케이블로 연결된 PC와 스마트폰 연결 해제 2. "adb kill-server" 명령어로 ADB 서버 종료 3. 스마트폰 개발자도구에서 "USB 디버깅 권한 승인취소" ※ 개발자 옵션은 Default 숨김 상태이며, 일반 설정에서 안 보이면 "소프트웨어 정보> 빌드번호" 연타해서 생성 4. PC 아래 ..
블루라이트 유해한가? 차단해야 할까?
1. 블루라이트가 뭘까 블루라이트의 정의는 잘 정리되어있는 사이트가 많아서 가져와봤다. 놀고 먹겠단 얘기다. 2. 블루라이트가 유해한가 나는 블루라이트란 걸 예전부터 들어보긴 했으나, 딱히 신경쓰진 않았던 것 같다. 그러다 최근 눈이 자주 피로해지는 걸 느끼게 되었고, 회사, 집, 이동 중 언제나 디스플레이를 보고있는 걸 인지하고는 이 놈이 문제인가? 하고 찾아보게 되었다. (+주변에서도 블루라이트에 대해 이야기 하다보니 팔랑팔랑거리다가...) 어쨌든, 블루라이트의 유해성 논란에 대해서는 의견이 상당히 분분하지만 유해하단 입장에 대한 근거는 많이 떨어지는 것 같다. 논란거리 몇 가지 정리해보자. 2-1) 블루라이트가 과도하게 부족한 환경에서는 우울증이 발생하기도 하며, 블루라이트를 치료 용도로 사용 한다..
[los] nightmare
#문제 #문제 의도 - 입력 값 필터링 규칙 (pw) if(preg_match('/prob|_|\.|\(\)|#|-/i', $_GET[pw])) exit("No Hack ~_~"); if(strlen($_GET[pw])>6) exit("No Hack ~_~"); 1) prob 2) _ 3) . 4) () 5) # 6) - 7) pw 입력 값이 6자가 넘으면 안 됨 - 목표 pw 값을 6자 이하로 입력, 필터링을 우회하여 쿼리 결과값이 존재하도록 해라. #확인사항 - 가장 먼저, 주석문을 삽입해서 뒤에 and id!='admin' 조건문을 우회해야 할 것 같다. - Mysql에서 주석을 사용하는 방법을 알아보자. 1) # → 필터링 됨 2) --공백 // 예를 들어, --%20 혹은 --%09 등 → 필터..