Web/HackThis!!
Main Level 6
'Ronal'라는 이름으로 로그인하면 현재 level을 통과할 수 있다고 하는군요. 쉽네요. 밑에 창에서 Ronald를 찾아 Submit 버튼을 눌러주기만 하면 되는군요. 하지만... 이럴 수가... Ronald라는 이름은 어디에도 존재하지 않습니다. 이게 어떻게 된 일일까요. 우린 더 이상 이 문제를 못 깨는 것일까요? 그렇지 않죠. 저희는 클라이언트입니다. 브라우저 상에서 나타나는 html 정도는  'Ronal'라는 이름으로 로그인하면 현재 level을 통과할 수 있다고 하는군요. 쉽네요. 밑에 창에서 Ronald를 찾아 Submit 버튼을 눌러주기만 하면 되는군요. 하지만...  이럴 수가... Ronald라는 이름은 어디에도 존재하지 않습니다. 이게 어떻게 된 일일까요. 우린 더 이상 이 문제..
Main Level 5
매우 슬퍼 보이는 귀여운 고양이 한 마리가 등장하는 시작 화면입니다. ㅎㅎ 달래주고 싶지만 아쉽게도 뒤로 하고 페이지의 소스를 봤습니다. 부분에 있는 링크에서 해당 이미지를 불러왔나 봅니다. 중요한 건 그게 아니라 그 위에 있는 "text/javascript"입니다. JavaScript에서의 prompt 함수는 간단히 말하자면 브라우저에서 알림 창을 띄워 문자열 입력을 받는 함수입니다. 자세한 내용은 이곳에서 확인하시길 바랍니다. 중요한 것은 GET 방식으로 Password를 전달하고 있다는 것입니다. 그렇다면 저희가 할 일은 그저 저렇게 인자를 그대로 전달하기만 하면 된다는 것입니다. 접속해봅시다. 통과!! 다음으로 가보죠.
Main Level 4
이번 문제 역시 힌트는 아무것도 주어진 게 없습니다. Ctrl + U 를 눌러 시작해보도록 합시다. 일단 지금까지의 현상으로 보아 페이지 원본 소스의 처음 부분 혹은 ID, PW 부분에 존재할 것 같았습니다. '처음 부분' -> 특별한 것 없음. 'ID, PW 부분' -> 드래그 한 부분이 보이시죠? type이 "hidden"으로 숨겨져 있고, name은 "passwordfile"으로 패스워드가 저장된 곳인가 봅니다. 즉 value에 저장된 "../../extras/ssap.xml" 이 값이야말로 힌트라고 할 수 있습니다. URL은 하나의 서버 경로이므로 저 부분을 복사해서 현재 페이지에 덧붙여 봅시다. 다음과 같이 말이죠. 접속해 봅시다! 이렇게 정보가 노출되게 됩니다. 서버에서는 이런 식으로의 접근을..
Main Level 3
3번 문제 또한 2번 문제와 유사하게 아무런 힌트도 주고 있지 않습니다. 그래서 이전에 했던 것과 마찬가지로 Ctrl + U를 통해 페이지 원본 소스를 보기로 했습니다. 그랬더니... 웬걸 이렇게 처음 부분에 떡하니 JavaScript의 소스가 적혀있었습니다. 그것도 ID, PW 제출과 부분과 관련해서 말입니다. if문으로 검사하는 부분을 참고하여 바로 제출해보도록 합시다. ㅎㅎ
Main Level 2
이번에는 아-무런 글조차 쓰여있지 않습니다. 이전 1번과 마찬가지로 원본 소스에 무엇인가 숨겨져 있겠지라고 생각하고 다시 한번 Ctrl + U를 하고 둘러보았지만 ... 주석으로 준 힌트는 아무것도 없었습니다. 그래서 어쩔 수 없이 소스를 봐야겠다는 생각이 들었습니다. 그리고 힌트가 나온다면 어디에 나올까라고 생각하다가 제일 가능성이 높은 곳이 바로 Username과 Password를 치는 곳이 제일 가깝겠다 싶어 그쪽을 중심으로 찾아보게 되었습니다. 그리고 이걸 발견하게 됩니다.
Main Level 1
해외에서 유명한 사이트 중 하나인 "HACK THIS!!"라는 사이트를 찾게 되었습니다. 그러고 나서 가장 처음 만날 수 있는 문제인 'Main Level'부터 시작하도록 하겠습니다. 문제 설명을 보면 제 ID, PW를 넣지 말라는군요. 그래서 페이지 전체를 훑어보았지만 아무것도 발견할 수 없었습니다. 그래서 생각한 방법이 바로 'Ctrl + U'를 눌러 페이지의 소스를 보는 것이었습니다. 해당 페이지의 원본 소스를 볼 수 있는데요, 여기서 조금만 자세히 보게 되면... ah-ha 이렇게 발견할 수 있게 됩니다. 입력을 하고 다음 문제로 넘어가 보도록 합시다.