티스토리 뷰
OTP에 대하여 ..
https://kikikiwiii10.tistory.com/41
2FA 인증 서비스
2-factor authentication
맨 처음 가입 후 위와 같은 인증 서비스를 사용한다고 명시되어 있다.
- 로그인을 시도한 주체가 계정의 실제 소유자인지를 다시 확인하는 서비스
가입자 목록을 열람하여 보면, 위와 같은 목록을 볼 수 있다.
그리고 이 페이지를 불러오는 과정에서, 수신받은 패킷을 뜯어 보면
admin 계정의 pw 값을 얻을 수 있다.
Users.query.all() 을 이용하여 쿼리의 모든 정보를 return 하므로,, 당연함.
원래 sha256 암호화는 복호화가 불가능하지만, 데이터베이스를 기반으로 복호화를 가능하게 해 주는 아래의 사이트에서 간단하게 패스워드 값을 얻을 수 있음.
Sha256 Decrypt & Encrypt - More than 15.000.000.000 hashes (md5decrypt.net)
Sha256 Decrypt & Encrypt - More than 15.000.000.000 hashes
md5decrypt.net
이를 통하여 admin 계정으로 로그인 까지는 가능한데 ..
관리자 권한을 갖고 있는 이 계정은 QR 재등록 불가능,
따라서 OTP 값을 계산하기 위해 계정마다 다른 값이 주어진
otp_storage.otp_secret 을 얻어야 하는데
이걸 얻을 방법을 모르겠다.. 시발
추후에 계속
'hacking > WEB hacking' 카테고리의 다른 글
| OTP(One Time Password) (0) | 2021.08.04 |
|---|---|
| chall06-10 (0) | 2021.08.01 |
| chall05 (0) | 2021.07.23 |
| sql injection 우회 (0) | 2021.07.23 |
| curl (0) | 2021.07.05 |
- Total
- Today
- Yesterday
- LowerBound
- dp
- 위상 정렬
- Segment Tree
- 구간 합
- MaxHeap
- prirotyqueue
- 희소 배열
- Knapsack
- 동적계획법
- 참조 지역성
- 페르마의 정리
- 부분 합
- 백트래킹
- 이분탐색
- dfs
- 완전탐색
- Greedy
- 분할 정복
- 최단 거리
- 완전 탐색
- HashSet
- 배낭 문제
- Sort
- Priority Queue
- 비트마스킹
- RequiredArgsConstructor
- 분할정복
- MinHeap
- 누적 합
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |