BypassIF 풀이

# 분석 # 풀이 uid를 받고 쿼리에 집어넣고 결과를 출력해준다(1을 넣으면 1이 나오고, guest를 넣으면 guest) GET으로 입력값을 받아서 check_WAF라는 함수에 넣어서 union, select 등의 키워드를 필터링한다. SQL 파일 SQL 파일을 열어보니 user라는 테이블에 여러 uid들이 있고, admin의 upw가 FLAG인 것을 알 수 있다.  어떻게 페이로드를 짤 지 생각해보자우선, 각종 키워드를 필터링해놨지만, SQL은 대소문자 구별을 하지 않기 때문에 select -> Select 로 하면 우회가 된다. SQL은 대소문자 구별 안함을 확인했다공백도 필터링을 해놨는데, 이건 %09 (TAB) 으로 우회가 가능하다.  '%09Union%09Select%09upw%09From%..
일상 2024. 11. 11. 10:44
rev-basic-3 풀이

① 문제 ② 가설 수립 - "correct"  문구 키포인트로 보이며 해당 부분 문자열을 검색 후 역동작하는 부분을 분석하면 관련 문제가 나올 것으로 생각하고 증빙 시작 ③ 증빙1. x64dbg를 이용 해당 문자열 출력 함수를 식별 2. 7FF6C4AD1000 함수 이후 해당 문자열을 출력함으로 해당 함수 진입 3. 해당 함수에서는 아래의 내용이 식별이 가능 -  [cmp rax, 18] = 총 FLAG값은 24개의 글자 -  사용자값 비교는 [lea ecx, qword ptr ds:[rcx+rdx*2]] 에서 수행함 - ECX는 사용자 입력값, RCX는 메모리 저장값을 불러옴 4.[lea rcx, qword ptr ds:[7FF6C4AD3000]] 구문을 통해 rcx 저장 위치를 알수 있어 접근 5. ..
일상 2024. 6. 10. 11:11
시큐아이 교육 (BLUE MAX NGF 제품 교육) 및 시설 후기

이번 7/5 ~ 7/6일까지 삼성 계열사 보안 회사인 시큐아이 교육을 갔다왔습니다. 보안 업계에 몸을 담고 계신 분이라면 아마 누구나 가고 싶어하는 기업이 아닐까 싶습니다. 하지만 3년 이상 경력만 뽑기로 소문이 자자하죠 게다가.. 보안 전문업체 유일하게 토익 점수를 보던데 지금은 어떨지.. (그래도 최근엔 KISIA 교육에서 인턴을 뽑았다는 소문이..?) 제가 이번에 들은 교육은 BLUEMAX NGF 고객사를 대상으로 시큐아이에서 무상으로 제공하는 운영자 교육이였습니다. # 신청 방법 교육이 있는지는 시큐아이 장비를 이용하고 있는 고객사 메일로 전파가 진행되었고 https://www.secui.com/partner/register 에 들어가셔서 신청하시면 됩니다. (일정 확인도 가능해요) 수강 신청 생..
일상 2021. 7. 21. 13:27
2020 정보처리기사 4/5회 실기 중간 후기 및 가답안

안녕하세요 바로어제 개정된 정보처리기사 시험을 응시하고 왔습니다. 저는 상왕십리에서 시험을 봤는데 정말 응시 장소 접수하는데만 아이돌 티켓팅을 방불케 했었습니다.. (5시간 모니터링 후에 겨우 하나 잡았네요) 날씨는 매우 추워서 핫팩 하나 붙이고 달달달 떨면서 갔고, 도착하니 코로나 여파로 철저하게 검역 하더군요 나름 안심하면서 봤습니다. 시험 난이도는 "3회차보단 쉬웠으나 역시 개정된 난이도다"로 정의 할 수 있을 것 같습니다. 저도 전공자인데도 헷갈리는 문제가 많아서 현재 가답안에선 13문제에서 12문제로 간당간당하네요 예전엔 비전공자 분들도 쉽게 따는 자격증인데 이젠 5~20% 합격률을 보여주는 시험이니 준비하실려면 정말 단단히 준비 하셔야될것 같습니다. 결과는 12월 18일과 31일로 알고 있으니..
일상 2020. 11. 30. 10:04
[교육후기]kisia 정보보호 컨설팅 전문가 양성 과정 교육 후기

이번년도 진행 되었던 kisia 컨설팅 교육 과정을 수료하였습니다. kisia관련 교육에 관심이 많지만 후기가 많지 않아 도움을 드리기 위해서 후기를 작성하였습니다. # 면접 #면접 복장은 저는 가벼운 캐주얼 정장을 입고갔습니다. 교육 면접인데 가볍게 입고 갔다가 다른분들은 베이직 정장에 머리 셋팅도 하신분들이 대부분이었고 4~5분 정도가 편한 복장을 입고 오셨습니다. 전화 문의 했을시에도 면접 볼 복장으로 입고오라는 말을 들었으니 최소한 캐주얼 정장까지는 입어야될것 같습니다. #면접 질문 3명의 면접관과 5~6명의 면접자로 진행됩니다. 처음으로 자기소개를 한번씩 시키시고 이력서 중심으로 질문 1~2개와 컨설팅을 왜하고 싶은지 한 노력이 무엇인지 질문하셨습니다. 저같은 경우는 데이터 3법 개정에 관해서 ..
일상 2020. 11. 13. 11:24
2020년 정보 처리 기사 필기 시험 후기

# 정보처리기사 필기 합격 이번 2020년 정보 처리 기사 3회에 합격 했습니다. 시험이 코로나와 더불어 개정된 처음 년도기 때문에 뒤숭숭하기도하고 걱정을 많이 했는데요 다행이 좋은 결과가 나온 것 같습니다. 하지만 이러한 걱정은 다른 분들도 하실 것 같아 조금이나마 도움을 드리고자 후기를 작성해봅니다. #공부 기간, 방법 #기간 가장 궁금해하실 내용입니다. 결론적으로 말씀드리면 저는 전공자와 기능사 자격증이 있는 상태로 3주가량 준비했고 그마저도 교육일정이 잡혀있어 하루 2 ~ 3시간 투자 하여 책 요약과 모의 기출 문제 1장정도 풀었습니다. 2주 가량을 최소 한번 책을 돌리자에 집중해서 시나공을 바탕으로 C,D를 제외한 A,B를 중심으로 풀었고 나머지 기간을 모의고사를 풀며 문제감을 익혔습니다. ##..
일상 2020. 11. 13. 11:23
1
반응형
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
TAG
more
«   2025/04   »
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30
글 보관함