요즘 sms로 인터넷 주소가 오면, 눌러보고는 싶고...
눌르자니 스미싱인가 무섭고...

이럴 때 사용하기 좋은 사이트가 있습니다.

'인터넷사이트' 에서 제공하는 축약 URL 해제 서비스 인데요, 주소는 아래와 같습니다.

http://bitly.kr 

메인 화면은 아래와 같이 생겼으며, '풀기' 좌측 공간에 축약 URL을 입력하시고, 풀기를 누르시면!

축약되지 않은 주소를 볼 수 있습니다.

이미지 출처 :http://pcgoon.tistory.com/119 

즉 1->2->3의 순서로 작업 하시면 원본 주소를 볼 수 있는거죠!!

때로는 단축 url을 다시 단축하기도 하는데, bitly에서는 끝까지 찾아가서 원본 URL만을 보여줍니다.

이젠 sms로 주소가 오면 비틀리에 넣어보구 apk 파일 주소라던지, 아니면 이상한 냄새가 풀풀 나는 주소라던지 하면 안 눌러보구, 진짜 지인이 필요에 의해 보낸 주소라면 들어가 볼 수 있겠네요, ㅎㅎ

  http://webhacking.kr/challenge/codeing/code1.html

10번 문제 페이지에 접근하면 회색 우측엔 점선과 buy lotto 란 문자가, 좌측엔 O란 문자가 있습니다.

이중 O위에 마우스를 올리면 yOu 라고 뜨게 됩니다.

소스코드를 보면 위와 같다.

위의 소스코드를 보면 마우스로 O를 클릭할깨마다 O의 위치가 조금씩 우측으로 감을 알수있다.

또한, O의 위치가 buy lotto와 같아지면(800이 되면) 다른 주소로 이동함을 알수있다.

O를 800번 눌러도 되지만, 좀더 쉬운 방법을 생각해보자.

  http://webgame.wowhacker.com/levelii

2번 문제에 접속하면 아래와 같이 간단한 게시판이 보입니다.

Answer.txt에 접속하려 하면, level5 이상의 회원만 접근 가능하다고 popupo창이 뜹니다.

이럴경우 대부분 cookie에 lv가 저장됩니다(로그인을 하지 않았으므로, Database 방식은 아닙니다.)

그럼 Answer.txt에 접근해보도록 합니다.

접근해서 파일을 받아보지만, Fake네요...

Password.txt에 접속해보려 하지만, level 7 이상만 접근가능하다고 뜹니다.

그렇다고 level을 7이상으로 설정할 경우 불법적인 접근이라 뜨게 됩니다.

그러므로 다운로드취약점을 이용해야한다고 추측가능합니다.

  http://webgame.wowhacker.com/level1.php

1번 문제는 간단하게 소스코드를 보는 문제입니다.

php의 경우 확장자가 phps일 경우 .php 로 접근하면 실행되고, .phps로 접근하면 코드가 보이게 됩니다.

접속하면 위와 같은 글이 보이게 된다.

따라서 .phps로 접근하면 코드가 보일것이라 유추 가능합니다.

<?
 echo "?key=";
 echo "$_GET[key]";
 echo "<br>";
	if($_GET[key]=="wowhacker_hardware"){
		include "./../key/key1";
	} else echo "Can not open a key file";
?>
<br>
<br>
Hint : 개발자의 실수로 소스코드를 볼수있다. php파일의 소스코드를 웹에서 보기 위한 방법<br>
<br>

위와 같은 코드를 보게 됩니다.


post방식으로 key='wowhacker_hardware' 로 설정해주면 해답이 출력되게 됩니다.


따라서 정답에 접근하기 위한 주소는 webgame.wowhacker.com/level1.php?key=wowhacker_hardware 입니다.