CTF Reviewed & Writeups
WACON 2023 Final WEB(funnyjs, Cha's eval) Writeup
[WEB] funnyjs do you like js? Challange analyze ∧,,,∧ ( ̳• · • ̳) / づづ plz xss 챌린지 파일의 index.html을 확인해보면 위와 같은 코드가 존재하는 것을 확인할 수 있습니다. 문제에서 "plz xss"와 script 태그에서 특정 조건을 통과해 XSS를 발생시켜야하는 문제라고 추측이 가능합니다. 먼저 paload 변수에 값을 할당하는 부분을 확인해보겠습니다. decodeURIComponent(document.location.hash.slice(1)).replaceAll(//g,''); 현재 URL의 fragment 값을 받아와서 "" 태그문자가 존재하면 이를 제거한 후 URL Decoding을 진행합니다, 그 후 payload라는 변수에 ..
WACON 2023 Quals WEB Writeup
mosaic [WEB] It looks weird... 처음 문제 사이트에 접속시 다음과 같은 페이지가 나타납니다. 여기서 회원가입 -> 로그인 순으로 계정에 로그인을 진행합니다. 로그인을 진행하게 되면 "upload", "mosaic" 이라는 엔드포인트가 활성화됩니다. 각 엔트포인트별 코드를 확인해보겠습니다, "upload"는 아래의 로직으로 처리됩니다. @app.route('/upload', methods=['GET', 'POST']) def upload(): if not session.get('logged_in'): return redirect(url_for('login')) if request.method == 'POST': if 'file' not in request.files: return '..
제 27회 하계 해킹캠프 참가 후기 및 Writeup
27회 하계 해킹 캠프 요약 (후기) 이번에도 기회가 되어 27회 하계 해킹캠프에 참가하였습니다, 24, 25, 26, 27회까지 해킹캠프를 참가한지 이제 2년차가 되는 것 같아요 :) 24회 해킹캠프에 참가했을때는 해킹에 대해서는 아무것도 모르고 아는 사람들도 한명도 없어서, 발표를 잘 이해하지도 못하고 CTF 문제도 한문제도 못풀었던 기억이 나는데, 해킹캠프를 참가할때마다 계속해서 실력이 올라가는 것을 느끼는 것 같습니다. 해킹을 아무것도 몰랐던 때가 엇그제 같은데, 벌써 공부한지 2년이란 시간이 되는것 같아서 되게 신기하고 계속 성장하는 것 같습니다. 비록 이번에는 CTF에서 1등을 하지는 못했지만, 기회가 된다면 다음 해킹캠프도 참가해서 꼭 1등을 노려볼 수 있도록 도전해보고 싶습니다. (다음 회..
2023 CCE 청소년부 예선문제 Writeup
CCE 2023 이번 2023 CCE 예선전에서 청소년부 [시계 받으러 왔습니다.] 팀으로 3등으로 본선진출을 하게 되었습니다. 이번대회에서는 저는 총 WEB 부분 3문제를 솔브하였습니다. (KMAIL, Babyweb (2), Automatic dispenser) 작년 CCE 예선전에는 1인분도 못했던거 같은데, 이번에는 1인분은 한거 같아서 실력이 작년에 비해서 좀 늘은것 같다는 생각이 들었고, 작년 CCE문제보다 올해 CCE 문제의 난이도 상대적으로 더 올라간거 같은 느낌도 받을 수 있었습니다. 이번에는 해당 CCE 예선전에서 솔브한 문제에 대해 자세하게 접근방식 등을 포함한 Writeup을 작성하면서 전체적으로 복기를 진행해보려 합니다. [청소년부 WEB] - KMAIL 해당 문제는 golang 언..
2022 CCE 예선문제 웹 전체 Writeups
2022 CCE Quals 이번 2023 CCE 대회를 참가하기 위하여, 2022년도에 출제되었던 웹 전체 에선문제 Writeup을 작성해보려 합니다. Review가 아닌 Writeup인 만큼 길게 설명하지 않고 짧고 빠르게 정리하려고 합니다, (2023 CCE Quals는 Review 형식으로 작성할 예정입니다.) 작년도 CCE Quals는 청소년 + 일반 + 공공 부분 다 합쳐서 총 5문제의 웹 문제가 출제되었습니다. [청소년부] Login me == Description == Easy SQL injection! 웹 사이트에 처음 접속해보면 아래와 같이 문제 소스코드는 주어지지 않고 로그인 화면만 존재합니다. Description에서 언급한 바와 같이 Sql injection을 수행하여 admin 권..
제 26회 동계 해킹캠프 참가 후기 + CTF WriteUp
26회 동계 해킹 캠프 + 인상깊은 강연 저번에 하계 해킹캠프 참가에 이어서 올해 26회 동계 해킹캠프를 진행한다는 소식에 바로 참가신청을 하여 참가하였습니다. 25회, 24회에 진행했었던 해킹캠프에 참가하여 발표를 들었을때는 해킹공부를 갓 시작한 뉴비였었기 때문에 발표 내용에 거의 절반 이상이 이해가 가지않았는데 이번에 해킹캠프를 참가하여 발표를 들었을때는 대부분의 발표내용이 이해가 가서 정말 이정도로 공부했구나 라는 느낌도 들고 발표내용도 정말 재밌고 유익했습니다 :) 또한 많은 분들이 저를 알아봐주시고 먼저 인사해주셔서 많이 놀랍기도 했고 보안계 쪽에서 유명하신 분들과 이번에는 조금이라도 말을 틀수 있어서 많은 경험과 지식들을 얻어갈 수 있었던 것 같습니다. (종합적인 느낀점은 아래에 정리하였습니다..
2023 Dice CTF 복기
Dice CTF 최근에 CTF를 거의 참여하지 않았다가, 팀 내에서 CTF 팀으로 활동을 하게 되어서 오랜만에 CTF를 참가했습니다. 오랜만에 CTF를 참가하기도하고 다른 프로젝트를 진행하느라 보안공부를 많이 하지 못했어서 감이 많이 죽었다는게 CTF를 통해서 느껴진 것 같습니다.. 이번에 참가한 Dice CTF는 Web 문제가 상당히 어려웠던 것으로 기억합니다, 계속 도전을 해보았지만 결국 마지막까지 풀지 못했고, 이번에 CTF에서 도전했던 "scorescope" Web 문제의 접근 방식과 풀이 방법을 비교해보면서 복기하는 시간을 가지려고 합니다. scorescope (WEB) 문제 설명 I'm really struggling in this class. Care to give me a hand? 문제 ..
제 25회 하계 해킹캠프 참가 후기
25회 하계 해킹 캠프 저는 이번 2022년 8/27 ~ 8/28까지 진행한 해킹 캠프에 참가하였습니다. 작년 24회 동계 해킹캠프에 참가하였을때 온라인으로 일정이 진행되었어서 살짝 아쉬운 느낌도 들고 오프라인으로 진행하면 엄청 재밌겠다라는 생각을 했었는데 다행이도 코로나가 완화되어 이번 하계 해킹캠프는 오프라인으로 진행되었습니다. 이번 해킹캠프는 서울 강서구 유스호스텔에서 진행하였었는데, 해킹캠프 시작 초반에 생각보다 많은 분들이 저를 알아봐주시고 인사해주셔서 한편으로 엄청 놀라기도 했고 굉장히 감사했습니다 :) 또한 보안계에서 엄청 유명한 분들이 오셔서 강연도 해주시고 이벤트도 진행해주시니 엄청 재밌었고 유익한 시간이 되었던 것 같습니다. 개인적으로 강연을 들으면서 거의 모든 강연이 인상깊고, 도움이..