Wargame/Hack CTF
HackCTF Web - 보물 write up
문제에 제시된 사이트 접속 페이지에 제시된 버튼을 눌러보자 page1 버튼을 누르니 page 파라미터를 통해 1이란 값을 받는 것을 알 수 있다 페이지 숫자 중에 비밀이 있고, 그곳에 보물을 숨겨놓았다고 한다 page1 버튼을 눌렀을 때 변한 것이 하나 더 있다. 암호화(?) 되어있는 듯한 문자열이 출력되었다. 이를 통해 페이지 파라미터로 어떤 특정 수를 전달해주면 Flag가 나올 것이라 예측하고 풀어볼 수 있다. python 코드를 짜서 브루트포싱 공격(무차별 대입 공격)을 해보자 HackCTF 사이트에서의 Flag 형식은 HackCTF{~~~} 이기 때문에 페이지 수를 1씩 증가시키면서 요청을 보내고 만약 Flag가 바로 출력이 된다면 페이지 번호를 출력하고 반복문을 종료하는 코드를 작성했다. imp..
HackCTF Web - Button write up
문제 사이트로 들어가보자. 버튼을 눌러서 플래그를 출력시켜야 한다. 힌트를 얻을 수 없어, F12 관리자 개발도구를 통해 분석해보았다. 아무 힌트도 얻을 수 없었다. 그래서 게싱을 하기로 마음먹었다. Button의 value 값을 admin이라고 바꿔보았다. 결과는 아무것도 뜨지 않았다. 설마 해서 버튼의 value 값을 flag라고 바꾼 후 버튼을 클릭해보면 flag를 얻을 수 있다. HackCTF{0k4y...php_c4nn0t_cr34t3_4_butt0n}~~
HackCTF Web - Hidden write up
문제에 제시된 URL로 접속해보면 아래와 같은 페이지가 나온다 5번 파일에 플래그가 있다고 한다. 하지만 버튼 중에는 5번이 없다. 1번 버튼을 눌러보니, URL 뒤에 ?id=1 이라는 주소가 뒤에 붙었다. 그리고 alert창도 함께 떴다. id의 값을 5로 바꿔주면 풀릴 것 같아서 URL 뒤에 ?id=5를 붙여서 요청을 보내보았다. http://ctf.j0n9hyun.xyz:2023/?id=5 Flag is HackCTF{idx_is_so_s1m3le_ctf}
HackCTF Web - / write up
문제에 제시되어있는 URL 주소로 접속하게되면 아래와 같은 화면을 볼 수 있다. Hidden Flag라는 텍스트와 함께 robot 사진이 제시되어있다. 여기서 게싱을 해야하는 문제이다 robot 이미지 주소를 봐도 http://www.irobotnews.com, 저 사이트는 문제사이트가 아닌 듯 하여 고민을 해보았다. 혹시 robots.txt를 말하는 것인가 의문이 들어 robots.txt 를 열어보았다. 더보기 robots.txt란, 원하는 페이지를 노출되도록, 혹은 노출되지 않도록 설정할 수 있는 설정 텍스트파일이다. http://ctf.j0n9hyun.xyz:2020/robots.txt robots.txt 파일에선 robot_flag 로 향하는 경로가 노출이 되지 않도록 설정하고 있다. 노출은 되지..