전체 글
-
페러럴즈에서 VM차단되는 게임/장학재단 장학금 신청 등 가능하게 하기Chat 2017. 12. 11. 15:24
맥북사용자들은 불편하고 헬조선스러운 국내 인터넷 환경에서 살아남기 위해서는페러럴즈/VMWARE/VirtualBox 등 VM프로그램의 이용이 불가피하다. 왜 VM을 막는지 이해할 수 없는 보안방식이지만,맥사용자 대응은 1도 안해주면서, 요구하는건 지X맞게 많은 우리나라 인터넷 환경에다시 한번 박수를 보낸다. 맥사용자가 VM환경에서 게임이나, 은행/장학재단/자동차보험 등을 이용하려고 하면,처음부터 알려주지도 않으면서 꼭 설치하라는 모든걸 설치하고 마지막에 VM환경에선 이용할 수 없다고 깐다. (시X) 이 헬조선스러운 방식을 우회하고 이용할 방법이 있으니,대게 우리나라 보안프로그램들은 거의 비슷한 방식의 로직들로 보안체크를 하는것. VM을 차단하는 대다수의 보안프로그램은 아래와 같은 방법으로 대부분 우회된다...
-
[Python] euc-kr 웹페이지의 데이터를 utf-8로 변환하기Programming 2016. 4. 6. 19:36
python(2.7) 으로 웹페이지 parsing 을 하다보면 계속 만나게 되는 문제.매번 까먹어서 짜증나서 블로그에 포스팅해놔야지 euc-kr 로 제작된 웹페이지를 urllib 등으로 데이터를 읽어와서작업을 하려하면 한글이 무참히 깨지거나, 폭풍 error req=urllib2.Request(url) res=urllib2.urlopen(req).read() convStr=unicode(res,'euc-kr').encode('utf-8') print(convStr) 이렇게, unicode로 변환 후 utf-8로 encoding 해주면 대부분 잘 된다.
-
[Webhacking.kr] Challenge 9Security/Wargame 2015. 8. 5. 23:28
Webhacking.kr Challenge 9 Challenge 9 에 접속하면 다음과 같은 화면을 보게된다. 시작하자마자 Web-Server에서 Authentication을 요구하는데...내가 어떻게 알아 종종 위의 인증창에서 SQL-Injection을 시도하는거라고 생각하는 입문자분들이 계신데,여기서 하는거 아닙니다!고생하지마세요! 처음엔 게싱으로 뭐 ..admin/admin 도 쳐보고 test/test도 쳐보고 에라이 아니네,취소를 누르면 다음과 같은 화면을 보게됩니다. 인증에 실패했기때문에, 401 Unauthorized 에러를 만나게 되는데당연한 결과다. 이 부분에서 어떻게 하면 저 인증을 우회할 수 있을까하고 열심히 검색을 해볼거다.웹 인증 우회, 웹 로그인 우회 등등자세한 문서를 찾아보고 싶..
-
아이폰 아랍어 버그 해결 방법Security 2015. 5. 29. 11:25
외국에선 먼저 일어났지만, 한국에서는 2015년5월28일부터 무분별하게 일어난 아이폰 아랍어 취약점.해당 문제는 아이폰 iOS 7,8 모두에서 발생한다고 하며, 8.4 베타버전에서도 패치가 안된 상태.빠른 시간내에 hotfix 가 나오길 기대하지만,문자나 카톡을 사용하지 않으면서 기다릴 순 없기에 해결 방법을 제시해본다. 일단 문제점이 발생하는 문자열은 다음과 같다. 이와 같은 문제는 모든 화면에서 발생하는 것은 아닌 것으로 추정되고,이 문제가 발생하는 이유로 가장 유력한 추측글 중 하나를 인용하자면 영문자,숫자 등을 제외한 문자(위의 페이로드에서는 아랍어, 특수문자, 한자 정도가 되겠다)는 Unicode(유니코드)로 처리되는데.시스템이 유니코드를 처리할때는,유니코드를 Hex값으로 변환한 뒤 Mappin..
-
[Webhacking.kr] Challenge 7Security/Wargame 2014. 10. 7. 00:59
안녕하세요. 이번엔 webhacking.kr 7번 문제의 풀이를 작성하겠습니다. 7번 문제에 접속하시면 다음과 같은 화면이 나옵니다. auth를 눌러보면 Access_Denied! 라고 alert가 표시됩니다. 소스보기를 보면 admin mode: val=2 라고 주석처리가 되어있습니다. 주소창을 보면 val=1 로 접속이 되어있는데, val=2 로 바꾸어 보면 Access Denied 를 표시해줍니다. 일단 소스를 보져 index.phps 에 들어가줍니다.
-
[Webhacking.kr] Challenge 6Security/Wargame 2014. 10. 7. 00:33
안녕하세요.오늘은 Webhacking.kr 의 6번 문제 풀이를 작성해보도록하겠습니다. 6번 문제에 접속하시면 다음과 같은 화면을 보게됩니다. ID: guestPW: 123qwe 라는 내용을 보게 되고,Hint 는 base64 라고 주어졌습니다. 일단 소스를 한번 보도록 하죠 index.phps 로 들어갑니다. Challenge 6 위와 같은 소스를 보게 됩니다. 소스를 분석해 보도록하죠 쿠키값이 없을 경우id는 guestpw는 123qwe로 선언 후각 값을 가지고 base64 Encode를 20번 합니다.그리고 나온 결과값에서1 -> !2 -> @3 -> $4 -> ^5 -> &6 -> *7 -> (8 -> )로 치환을 하게 됩니다. 그리고 치환된 값을user에 id를 password에 pw를 넣어주고..
-
[Webhacking.kr] Challenge 5Security/Wargame 2014. 7. 10. 19:31
문제에 접속하면 위와같은 화면을 보게된다.Join 은 접속할 수 없고 Login 을 누르면 다음과 같은 화면이 나온다. 아무렇게나 로그인을 해보자 이렇게 admin 으로 로그인을 해야한다고 말해준다. join 에도 무언가가 있을것 같은데,join 은 접속할 수가없다. 그런데 우리가 Login의 주소를 보면 알겠지만/mem/login.php정말 정직한 주소이다./mem/join.php로 접속을 해보자 Not Found 가 뜨지 않고접속이 된다. 그런데 검정 화면만이 자리잡고있다. 소스보기를 한번 해보자 소스를 보게되면 알아보기가 힘들게 난독화가 되어있다.이 소스를 jsbeautifuler 와 같은 툴을 통해 살펴보면어떠한 조건에 따라 조건이 맞을 경우 페이지 요소들을 보여주게 되어있다. 여기서 우리가 조건..