writeup
WACON 2023 Final WEB(funnyjs, Cha's eval) Writeup
[WEB] funnyjs do you like js? Challange analyze ∧,,,∧ ( ̳• · • ̳) / づづ plz xss 챌린지 파일의 index.html을 확인해보면 위와 같은 코드가 존재하는 것을 확인할 수 있습니다. 문제에서 "plz xss"와 script 태그에서 특정 조건을 통과해 XSS를 발생시켜야하는 문제라고 추측이 가능합니다. 먼저 paload 변수에 값을 할당하는 부분을 확인해보겠습니다. decodeURIComponent(document.location.hash.slice(1)).replaceAll(//g,''); 현재 URL의 fragment 값을 받아와서 "" 태그문자가 존재하면 이를 제거한 후 URL Decoding을 진행합니다, 그 후 payload라는 변수에 ..
제 27회 하계 해킹캠프 참가 후기 및 Writeup
27회 하계 해킹 캠프 요약 (후기) 이번에도 기회가 되어 27회 하계 해킹캠프에 참가하였습니다, 24, 25, 26, 27회까지 해킹캠프를 참가한지 이제 2년차가 되는 것 같아요 :) 24회 해킹캠프에 참가했을때는 해킹에 대해서는 아무것도 모르고 아는 사람들도 한명도 없어서, 발표를 잘 이해하지도 못하고 CTF 문제도 한문제도 못풀었던 기억이 나는데, 해킹캠프를 참가할때마다 계속해서 실력이 올라가는 것을 느끼는 것 같습니다. 해킹을 아무것도 몰랐던 때가 엇그제 같은데, 벌써 공부한지 2년이란 시간이 되는것 같아서 되게 신기하고 계속 성장하는 것 같습니다. 비록 이번에는 CTF에서 1등을 하지는 못했지만, 기회가 된다면 다음 해킹캠프도 참가해서 꼭 1등을 노려볼 수 있도록 도전해보고 싶습니다. (다음 회..
2023 Dice CTF 복기
Dice CTF 최근에 CTF를 거의 참여하지 않았다가, 팀 내에서 CTF 팀으로 활동을 하게 되어서 오랜만에 CTF를 참가했습니다. 오랜만에 CTF를 참가하기도하고 다른 프로젝트를 진행하느라 보안공부를 많이 하지 못했어서 감이 많이 죽었다는게 CTF를 통해서 느껴진 것 같습니다.. 이번에 참가한 Dice CTF는 Web 문제가 상당히 어려웠던 것으로 기억합니다, 계속 도전을 해보았지만 결국 마지막까지 풀지 못했고, 이번에 CTF에서 도전했던 "scorescope" Web 문제의 접근 방식과 풀이 방법을 비교해보면서 복기하는 시간을 가지려고 합니다. scorescope (WEB) 문제 설명 I'm really struggling in this class. Care to give me a hand? 문제 ..
2022 Wacon CTF 본선 복기
2022 Wacon CTF 본선 참가 후기 이번 2022년도 7월 15일 ~ 7월 16일 까지 개최된 Wacon CTF 본선을 참가하게 되었습니다. 본선은 서울 더케이호텔 3층 거문고홀에서 약 36시간동안 진행되었는데, 국내 최대 규모로 열린 CTF를 오프라인으로 참가하니 굉장히 안쪽도 웅장하고 여러가지 이벤트도 많이 진행되었던 것 같습니다. 청소년부 부터 성인부까지 굉장히 해킹씬에서 유명하신분들이 이번 Wacon 대회에서 전부 모이셔서 나름대로 많은 분들을 새롭게 만나뵙고 제가 현재 소속되어 있는 TeamH4C 청소년 팀원분들을 처음 만나게 되어서 굉장히 재밌고 인상깊었습니다. 또한 제가 평소부터 굉장히 존경하고 국내 최고 수준급의 화이트 해커시자 현 티오리(https://theori.io/) 대표님이..
2022 Codegate junior 복기
Codegate 2022 junior 참가 후기 저는 이번에 열리는 codegate 2022년도 junior부분 예선대회를 참가해보았습니다. 대회는 총 24시간 동안 진행되었으며, 그 시간 동안 저는 WEB 부분 1문제와, 대회가 끝난 후 WEB 부분 1문제를 더 풀어 총 2문제를 풀었으며 676pts를 얻고 CTF를 마무리 지었습니다. 해당 포스트에서는 Codegate 2022 junior 부분 WEB 문제에 대해서 한번 writeup을 작성해보려고 합니다. ohmypage Description Oh my page! WriteUp - Prediction 처음 페이지에 들어가보게 되면 Main, Search, Report 3가지 페이지가 존재하는 것을 확인할 수 있습니다. 여기서 저는 Report라는 페..
24회 해킹캠프 참가 후기 및 CTF Writeup
첫 해킹캠프 참가 후기 예전에 많은 블로그 사이트에서 해킹캠프 한번씩 참가해보라는 말이 있어서 이번 24회 동계 해킹캠프에 참가하게 되었습니다. 2일이라는 시간동안 유명하신분들이 오셔서 강의도 진행해주시고 조언도 많이 해주셔서 너무 유익한 시간이 됬고, 중간중간에 진행되는 이벤트를 참여하면서 정말 즐거웠었습니다. 특히 강의에서 들었던 (JavaScript Engine Exploitation 101, 웹 해커의 CTF 그리고 버그바운티, 취약점 분석 자동화) 강의가 저에게는 특히 흥미로운 주제로 들을 수 있었던 것 같아요. 전체적으로 저에게는 굉장히 만족스러운 시간이 되었던것 같고 많은 지식을 얻어갈 수 있었던 시간이였습니다. 이번 하계 해킹캠프는 꼭 오프라인으로 운영되었으면 좋겠습니다! CTF "깜찍토토..
2022 Hayyim CTF 복기
Hayyim CTF 참가 계기 저는 CTF에 대한 경험을 쌓기 위해서 이번 2022년도에 jun0911.dev라는 이름으로 하임 시큐리티에서 주관한 Hayyim CTF에 참가를 하였고 '마스터는 구글청소부'라는 팀명으로 CTF를 진행하였습니다. 최종적으로 웹 부분 문제에서 총 3문제를 풀고 648pts, 30등으로 CTF를 마무리하였습니다. 해당 포스트에 지금까지 풀었던 문제들을 복기해보면서 writeup을 작성하려고 합니다. Cyberchef Description The Cyber Swiss Army Knife. Instance : http://1.230.253.91:8000 Bot : http://1.230.253.91:8001 WriteUp - Prediction 문제 이름부터 저는 Cyberche..