<OOO>

10으로 마무리 했지만, 웹 문제가 많이 없어서 좀 아쉬웠던 대회였던것 같다. 웹은 총 3문제가 있었으며, 신박한(?) 기술보단 게싱이 좀 더 많았던 대회가 아닌가 싶다. 웹 페이지에는 이거밖에 안나온다. 그러나 robots.txt로 request를 날리면 flag 파일의 위치를 알려준다. 얘는 뭘까 하면서 웹 페이지를 뒤적거리던 중 우연히 소스를 보게 되었는데, 주석으로 request=santa 가 나와있었다. http://ctf주소/santa 를 날리면 되는줄 알았으나, http://url/?santa= 로 요청을 해야지 웹 페이지가 변하는걸 확인하였다. 여기서 {{7*7}}를 요청하면 49가 나오게 되는데, ssti 취약점인걸 알 수 있다. {{config}}를 요청하면 flag가 나온다. 지금은 ..