어제 tryhackme에서 챌린지 문제를 하나 풀고나니까도전정신이 들어서 hackthebox 챌린지 문제를 플어보겠음very easy를 시작으로 언젠가는 medium 문제까지 풀어보자  1. pwnbox를 사용해서 가상머신에 연결하기  2. 연결되고 나면 IP주소가 뜰것이고 이제 문제를 풀 수 있다 vm의 의미는 이미 알고있어서 바로 맞혔다 Task 2 What tool do we use to interact with the operating system in order to issue commands via the command line, such as the one to start our VPN connection? It's also known as a console or shell. powershe..

hackthebox ctf에서 출제되었던 웹 챌린지 문제다주어진 IP에 들어가면 이렇게 사용자에게 인풋 텍스트를 받는다  테스트로 hello를 입력해보면 이렇게 4가지 폰트로 변환해준다  인풋 영역에 5+1을 입력해보니 그대로 출력된다인풋을 검증이나 필터링하는 부분이 있는지 소스코드를 살펴보자 routes.pyget 요청에서 전달한 'text' 파라미터를 받아서  spookify 함수로 변환하고index.html에 렌더링하는 함수임을 알 수 있다  spookify 함수를 살펴보면 text를 change_font 함수로 바로 전달하는데사용자가 입력한 텍스트를 검증하는 부분이 전혀 없어 이 점을 이용하면 될 것 같다.  Server-Side Template Injection(SSTI) 취약점: 공격자가 악의..