발단

갑자기 해시끼리 비교를 어떻게 하냐고 묻더라고요.
당연한걸 묻길래 당연하게 대답을 해줬더니
salt가 랜덤이래요.
ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

MITM 막는다고 저런다는데
저러면 확실하게 평문이 뭔지 숨길수 있어요.
근데 서버도 평문이 뭔지 모른다는거에요.

코드에요.
평문끼리 비교
클라 평문 - 서버 해시
클라 해시 - 서버 평문
클라 해시 - 서버 해시
클라 해시(고정 소금) - 서버 해시(고정 소금)
클라 해시(랜덤 소금) - 서버 해시(랜덤 소금)
순이에요.
결과는 다들 알겠죠?

주작 없이 마지막줄 true 띄우고 디스코드 dm으로 인증하면 커피 사드려요.

MITM 당하는게 싫다면 HTTPS를 쓰거나
난독화로 꼬아서 'ㅅㅂ 이게뭐야' 소리가 나오게 하거나
보안장비를 사서 달면 되겠죠?

???? : 난 이렇게 안짜는데요?
아님 말고요.

+
시나리오가 어떻게 되냐면

1. 가입할때 랜덤소금으로 해싱해서 DB에 박힘
2. 클라에서 랜덤솔트로 해싱해서 전송
3. 서버에서 랜덤솔트 / 랜덤솔트 비교해서 로그인 시도
4. 로그인 실패

a. 랜덤솔트로 해싱되서 전송되는 정보를 중간에서 탈취
b. 해시크랙 해서 평문 확보
c. 서버의 DB에 박혀있는 해시의 소금이 뭔지 알아야 로그인을 하지 싯팔

인거에요.

일기장임 반말이니 이해하셈

근 2년동안의 이야기긴 한데
본인이 고2때 "히히 해킹 재미따 여기로 취업해야지ㅣ" 하면서 써니나타스나 웹케알같은거 찾아서 헤딩하며 공부하기 시작함. 그때는 뭐 아무것도 몰랐지. 지금와서 너무 쉽게 느껴지는 문제들도 "???? 이거 어캐품?" 하면서 삽질도 엄청 해보고 힌트 찾아보고 그래도 안되니 답지도 찾아보고 그렇게 풀었으니. 답지 처음 볼때도 이걸 보면 내가 푸는게 아니라 남이 풀어주는거 아니냐 하면서 되게 찝찝했거든.
근데 가르쳐 주는 사람이 없는데 '이 문제는 이런식으로 풀어야 한다.' 를 모르는데 머리만 아프고 발전이 없으니 어쩌겠음. 그래서  답을 보고 어떤식으로 풀리는지 알고 비슷한 문제 또나오면 그건 풀 수 있게 하는게 맞다고 자기합리화를 시켰는지 아님 진짜 합리적인건지 하면서 풀었지.
그러다보니 진짜 공부기 되긴 했는지 몇몇 문제들은 답지 안보고도 풀 수 있겠더라고. 자신감이 붙었지. 아니 ㅋㅋ 점수가 올라가고 wechall에 랭킹이 올라가는데 누가 자신감이 안생기겠냐고 ㅋㅋ 그때가 고3 초중반쯤이었음.
그래서 넘치는 자신감을 근거로 주변에 해킹하는 사람도 없고 하니 혼자 CTF를 뛰러 갔지.
https://07001lab.tistory.com/entry/cyberockr-2020-%EC%82%AC%EC%9D%B4%EB%B2%84%EC%9E%91%EC%A0%84-%EA%B2%BD%EC%97%B0%EB%8C%80%ED%9A%8C-%ED%9B%84%EA%B8%B0

그게 이거였음.
결과는 한문제 풀고 끝났지. 뭐 그러려니 했어. 그짤 있잖아

기억상 4인1팀이었나 그랬을건데 남들 다 150150150150의 머리로 문제를 푸는데 나혼자 150으로 풀면 어캐 비비겠냐고 ㅋㅋ. 이게 아닌가 암튼
그러려니 했지. 근데 그 뒤가 문제였던거야. 여긴 공고야. 수능을 안쳐. 무조건 취업을 해야되는데 할줄아는게 웹해킹 조금에 노드자스 약간 만지는 수준이었거든. 해킹으로 가야지가 아니라 해킹으로밖에 갈수가 없었던거야. 거기에 대부분의 업체가 고졸 안뽑음 ㅈㅅ 하거나 경력직만 뽑음 ㅈㅅ 하고 있는거야. 눈물이 났지. 그래도 몇몇 조건없음이 있긴 해서 넣아봤지. 당연히 연락이 안오는거야. 지금와서 생각해보면 너무나도 당연한게 비전공자, 잘쳐줘도 짭전공자인거잖아. 연락이 안오는게 당연하거든. 그와중에도 반은 점점 취업해서 나가는 애들이 늘어나고. 지금 생각해보면 너무 소극적이었던것 같기도 해. 근데 그때는 그게 최선이었다고 생각을 했나봐. 그와중에 ctf가 하나 또 열린다는걸 들은거야. 당연히 참가신청을 했지. 팀은? 어쩌겠어 혼자지. 그래서 결과가 이거야.
https://07001lab.tistory.com/entry/21117016266-the-hacking-championship-junior-2020-%ED%9B%84%EA%B8%B0

대충 세금 때서 18만원에 참가상 버거킹 몬스터와퍼세트였나 암튼 맛있게 먹었지. 왜 버거킹인지 알겠더라 겁나 크더라고. 또먹고싶은데 살 많이 쪄서 무서워서 못먹겠다. 암튼. 이번엔 상까지 들고왔어. 이력서에 쓸게 몇줄 늘어난거야. 그래도 상이 있긴 하니 한군데는 연락이 오겠지 했어. 결과는 뭐였을까? 아니나 다를까 아무 연락도 없는거야. 멘탈이 흔들렸지. 그상태로 졸업생 취업률을 깎아먹은 3명중 1명이 되어버렸어. 어쩌겠어 너무 늦게 방향을 잡아버린걸. 그뒤로도 계속 구직활동을 해봤지만 될리가 있었겠냐고 ㅋㅋ. 그와중에 써니나타스 채팅방에서 본게 학교 소개로 이력서 넣어보라고 했던 기업이 있었거든? 넣고도 연락이 없길래 탈락인갑다 했는데 대졸 모집한다고 채팅창에 올라가 있는거야. 알고보니 거기 관리자가 그 기업 대표였나 그랬더라고. 온갖 생각이 다 지나갔지.
그러다가 둥지를 대구에서 수원으로 옮기고 직업학교나 다니고 있지. 직업학교 수료를 얼마나 인정해줄지는 모르겠지만 말이야.
그와중에 갑자기 웹케알이 이상해지더니 리뉴얼이 또 되더라고? 풀어봤지. 풀리긴 풀리더라고. 헛으로 배웠던건 아니었으니깐. 근데 완전 처음보는 문제들. 그게 진짜였던거야. 내입장에서는 '그들만 아는 최신기술' 인거지. 당연히 난 모르니까 못풀었고. 키워드를 바꿔가며 구글링을 해봤지. 나는 못찾겠더라고. 그런데도 푸는 사람들이 있잖아. 내가 만약 취업이 됬더라도 맨날 저런거 처다보며 문제가 없는줄 알고 넘겼다가 무능한사람 취급 받았을거야. 취업하면 주변에 다 저런사람들일거 아냐. 살아남지 못하고 절망했겠지. 그렇다고 지금와서 다시 ctf를 뛰러 갈수 있는것도 아닌게 이제는 일반인 대회로 나가야 하잖아. 저런 사람들 사이에서 혼자 비비면서 올라가야 한다고. 아무런 정보도 없이. 어쩌겠어 그 자신감이 다 사라진걸.
그래서 그냥 현실을 받아들이고 할수있는거나 하려고. 하고싶은거 말고. 하고싶은걸 할 수 있으면 좋겠지만 안될거같고 해서 말이야.
그나마 풀어둔 리뉴얼 웹케알 문제들 풀이는 랭킹에서 내 이름 내려가면 쓸지 말지 생각해볼게.

그냥 갑자기 너무 무력감이 드는거야. 그래서 썼어. 공돌이가 글쓰는거라 개판이라 읽는사람 입장에서 "그래서 이새끼 뭔말하려는건데" 생각 들수도 있는데, 정리하자면 이거야.
내가 이걸로 밥벌어먹고 살려면 원래 현장에서 뛰던 사람들과의 경험치 차이를 매꿔야 하는데 도저히 매꿀 방법을 모르겠다.
이거야. 노오력이 모자라다고? 내가 너무 게을러서 그런거면 어쩔수 없고. 그건 내가 경험치를 먹는게 아니라 사람이 바뀌어야할 문제리서 말이야.
뭐라 끝내야 될지 모르겠네. 초등학교 다닐때 끝문장 오늘도 즐거웠다 쓰면 혼났었는데 그래도 이렇게 끝낼래.
오늘도 즐거웠나?

orange

rfi 터트려야되는거같은데

저게 rfi가 터지는 코드인가?

리뉴얼 첫날부터 계속 쳐다봤는데 모르겠음

최신기술 공부 어디서함?

https://07001lab.tistory.com/entry/webhackingkr-Challenge-%F0%9F%8D%8A-PHP-%EC%8B%A4%ED%8C%A8