Blind PostgreSQL Injection in DApp Interface ($20K Paid)
TL;DR 서론이 좀 깁니다. 핵심만 보실 분들은 “Find Vulnerability” 목차부터 읽어주시면 감사하겠습니다. Summary DApp(Decentralized Application)은 분산형 애플리케이션으로, 블록체인 네트워크를 통해 상호작용하고 데이터를 공유할 수…
Read MoreCategory: Tips
tips
2019 Christmas CTF Platform
tl;dr 1. 재작년 초에 만들어서 얼마 전 Christmas CTF까지 수정해서 잘 사용했던 소스를 공개 2. 소스는 https://github.com/munsiwoo/christmas-ctf-platform 3. 이 글에서는 다이나믹 랭킹 이슈와 플랫폼…
Read More
SQL Injection Techniques (MySQL)
MySQL Injection에서 사용할 수 있는 문법, 테크닉을 정리해본 글입니다. 본 문서는 지속적으로 업데이트됩니다. Comparison operators, functions select 'admin'='admin'; # True select 'admin'<=>'admin'; # True…
Read MorePHP Template engine : Mun template
조건문과 반복문, 변수 출력, 변수 전달 등 최소한의 기능만 파싱해서 eval로 넘겨주는 PHP 템플릿 엔진을 만들어보았다. 엄청 단순해서 엔진이라 하기도 뭐하지만.. Smarty나 Twig를 사용하지…
Read More2019 선린 해킹방어대회 웹 문제
매년 CodeRed에서 선린인터넷고 해킹방어대회를 주관하는데, 작년에 이어 올해도 문제 출제를 맡게 되어서 웹 해킹 문제 3개를 만들었다. 문제 모두 소스코드를 제공해주는 화이트박스 문제였고 난이도는…
Read More2019 코드게이트 발표 후기
내가 준비한 주제는 Zend엔진(PHP 인터프리터) 오픈소스 오디팅을 통해 널리 알려진 PHP 트릭이 발생하는 이유와 분석 과정을 설명하며 그 중 취약점으로 웹해킹에 사용될 수 있는…
Read More
Categories
Tips
Protected: gdb (peda)
There is no excerpt because this is a protected post.
Read MorePHP 컴파일, 실행 bash 스크립트
#!/bin/bash # data: 2019-01-29 # made by munsiwoo echo php compile and run PHP_PATH="/php/php-7.0.30" if [ -f /usr/local/bin/php ]; then rm -rf /usr/local/bin/php fi…
Read More