일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- hackctf
- RCE
- 해외 워게임
- 해킹캠프 ctf
- hacking
- backdoorctf 2023
- 웹 해킹
- php
- 해외 wargame
- Web Hacking
- cve 분석
- hackingcamp ctf writeup
- 해킹캠프
- thinkPHP
- 웹해킹
- CVE
- wargame.kr
- WarGame
- WEB-hacking
- backdoorctf writeup
- Hacker.org
- backdoorctf 2023 web
- webhacking
- writeup
- Web
- CTF
- XSS
- XSS-game
- backdoorctf 2023 web Unintelligible
- hackingcamp
- Today
- Total
목록CTF write up (23)
<OOO>
[Demon 팀분+발표자님+참가자님의 블로그 주소는 맨 하단에 있습니다!!!!] 작년 여름에 참가했었지만 올해는 CTF를 한다고 하기에 부랴부랴 신청해서 교육듣고 CTF 참여를 하였다. 해킹캠프 CTF는 초보자들을 위해 맞추어진 대회라고 생각했었는데 문제 난이도가 상당히 높아 조금 당황을 했다.(?) 리버싱이랑 포너블은 공부를 안해서 안풀고 MISC랑 WEB만 주구장창 풀었다. (이거 푼다고 저녁을 대충 때웠는데 문제 풀다가 배고파서 쓰러질 뻔 했다...) 먼저 WEB 부터 천천히 풀어보자. (주 분야가 WEB이라서 WEB만 풀었다.. 나도 짱해커 되고싶다...) jhyeon 님이 만드신 Flag Shop 이다. 난 항상 로그인 화면을 보면 sqli 때리고 싶다는 생각이 든다. 그래서 sqlmap을 돌렸..
[MISC] FEEDBACK 구글 폼에 들어가서 평가해주면 flag가 나온다. MISC2 파일이... 너무 많다... 그러나 다 빈 파일이다. 저걸 하나하나 눌러볼 수는 없으니 리눅스를 통해 읽어본다. 리눅스에서 압축해제 한 다음 파일을 읽을것이다. 명령어는 cat *로 읽으면 된다. 밑에서 2번째에 있는 flag가 정답이다. HACSEC{z1ppppitnice} MISC3 으음... 뭔가 zip 파일도 있고 일반 디렉토리도 있다. 이런 방식으로 하나하나 해보면 flag가 나왔다. HACSEC{Z1ppv2} HANDSHAKE .cap 파일인걸로 보아 와이어샤크로 열어야 할것같다..... 라는 생각도 좋지만 열어봤자 보기 힘들다. 칼리리눅스에 aircrack-ng 툴이 있는데 이걸 이용해서 풀어야 한다.(..
이 셋 중에 하나를 누르면 랜덤으로 NPC가 하나를 골라 승부하는 게임이다. 내가 져도, 이겨도 flag를 뱉지 않는다. 이게 뭔지 싶어서 삽질을 좀 오래 했던 것 같다. 그러나, 우측 상단에 있는 설정 부분을 누르면 이름과 사진을 올릴 수 있게끔 만들어 놨다. 여기서 파일 업로드 취약점이 터지는것 같아 메모장으로 php 파일을 만들어 올려보았으나, 필터링을 하였다. 확장자 이름을 .jpg로 해도, 필터링이 되는걸로 보아 다른 방법으로 필터링을 하는 것임을 느낄 수 있다. 파일 시그니처를 PNG 시그니처로 바꾼 다음 올리면 어떻게 될까 싶어 올려보니 성공을 하였다. 파일 시그니처를 잘 모르겠으면, http://forensic-proof.com/archives/323 이 주소를 참고하자. 이렇게 저장을 하..
MISC sanity-check flag가 바로 여기 있다. discord 디스코드에 들어가면 flag가 있다고 한다. 디스코드안에 있는 announcements 채널에 들어가면 flag가 있다. hackerone-survey 설문을 작성하면 flag를 준다. WEB inspector-general 자기 친구가 홈을 만들었다고 한다. 나보고 flag를 찾을수 있냐고 묻는데.... 음... writeup 들이 모여있다. (writeup은 언제봐도 탐난다.) 저 사이트를 아무리 뒤져봐도 건질것이 없기에, dirb도 써보고 flag.txt 도 들어가보고 했는데도 안나왔다. 제일 기본 문제인 만큼, 쉽게쉽게 생각을 했다. 제일 첫 화면에서 페이지 소스를 보았는데... flag가 나왔다. login 왠지 SQL ..
Welcome to Phase 1 저기에 flag가 있다. flag : zh3r0{is_this_a_real_flag?} Welcome to Phase 2 디스코드에 들아가서 명령어를 입력해야 하는 것 같다. 커맨드를 쓸 수가 있다. ls 와 cat 명령어가 있다. cat 명령어로 welcome.txt를 보면, flag가 있다. flag : zh3r0{Hav3_FuN}
Tokens 디스코드 토큰이 있다. 이것을 이용해서 해킹을 하라는것 같은데.... 일단 디스코드 앱을 킨다. 여기서 ctrl + shift + i 를 누른다. 콘솔 창에서 이걸 넣어주면 된다. 맨 밑에 Token 부분에다가 해당 토큰을 넣어주게 된다면 로그인이 된다. flag가 나왔다! zh3ro{1et_7he_F0rce_8e_With_YoU} Web-Warmup 뭔가 워밍업으로 만든 문제같다. 음... 어렵게 생각하지 말고 쉽게 생각을 하면 어떻게 풀까... 하다가 여기서 찾았다. flag : zh3r0{y3s_th1s_1s_w4rmup}
CTF를 풀면서 느낀게 나는 이정도 밖에 안되는건가 싶은 생각과 공부좀 할껄 라는 후회가 자꾸 떠오른다. 재밌어 보인다. ㅋㅋㅋㅋㅋㅋㅋ 특수문자로 저런거 만드는거 보면 참 신기하단 말이지... 근데 마우스 스크롤을 계속 아래로 내리면 끝도 없이 내려간다; (솔직히 제일 끝에 뭐가 있을줄 알고 한참을 내렸으나.... 아무것도 없었다고 한다.) Ctrl + U 를 누르면 페이지 소스가 나오는데, script 부분에 뭔가 이 부분이 수상한것 같아서 들어갔더니... 으악 보기만 해도 눈이 너무 아프다.... 근데 배열 안에 있는 hex 값이 뭔가 수상한것 같아서 인코딩을 돌렸다. 저기 있는 마술봉 같은게 너무 보고싶었다.(암호학 관련 문제를 풀 때 저 문양을 보면 기분이 좋아진다.) 여튼, 저 마법봉을 누르면?..