ctf/Web Exploitation25 It is my Birthday 문제 풀어보기 생일이라고 한다.축하! 사이트에 들어가 보니 초대장 파일이 2개가 필요하다고 알려주고 있었다.하지만 초대장을 받은 적이 없기 때문에 그냥 업로드해 봤다. PDF 파일이 필요하다고 알려준다. 그래서 대충 텍스트 파일 2개를 pdf로 바꿔서 업로드해 봤다. MD5 해쉬를 가져야만 하는 힌트를 준다. 이젠 아는 게 없기 때문에 검색을 많이 했다. 여기서 md5의 취약점을 알 수 있었다. (충돌 공격과 사전이미지)🔽 🔽 🔽 🔽 🔽더보기https://en.wikipedia.org/wiki/MD5 MD5 - WikipediaFrom Wikipedia, the free encyclopedia Message-digest hashing algorithm The MD5 message-diges.. 2025. 1. 25. Client-side-again 문제 풀어보기 client-side-again 문제를 풀어봤다.easy 난이도에 있던 don't-use-client-side와 비슷한 문제이지 않을까? 멋진 철조망 이미지로 된 사이트를 들어가서 verify 버튼을 누르면 이 경고창만 뜨게 된다. 소스 창을 살펴보니 script 쪽에 복잡하고 길쭉한 코드가 있었다. https://beautifier.io/자바스크립트를 보기 예쁘게 바꿔주는 사이트에 들어가 변환해 보면예전에 풀었던 don't-use-client-side 문제 풀어보기 와 비슷한 코드를 볼 수 있었다. 정확하게 어떤 코드인지 한 번에 볼 순 없었지만 주어진 배열 안의 flag 파편을 조합해 입력했다. 다행히 정답!다른 좋은 방법이 있지 않을까 2025. 1. 24. JaWT Scratchpad 문제 풀어보기 새로운 문제를 풀어봤다. 이름을 봤을 땐 익숙한 jwt토큰 문제가 아닐까 예상했다. 사이트를 요약해 보면 admin은 스페셜한 스크래치패드를 얻을 수 있고 일반 사용자는 john 같은 보편적인 아이디로 들어가 보라고 알려준다. 당연히 admin으로 들어가 보면 아무것도 얻을 수 없었다. John으로 들어가 보면 위 메시지와 함께 쿠키를 얻을 수 있었다. 이 부근에서 많이 헤맸다. 폭풍 구글링을 해서 받은 쿠키를 디코드 해서 정보를 얻어 값을 수정해 넣어봤지만 에러만 떴다. 디코드를 해봤던 사이트와 구글링 하며 단서를 얻은 링크▼더보기https://jwt.io/#debugger-io https://portswigger.net/web-security/jwt 그러다가 사이트에 j.. 2025. 1. 23. picobrowser 문제 풀어보기 picobrowser에서만 렌더링 되는 웹사이트가 있다고 한다. flag 버튼만 있어서 눌러봤다. 눌러보니 picobrowser가 아니면 flag를 얻을 수 없을 거 같다.실제로 picobrowser이란건 없을 거라 생각하고 단서를 찾기 위해 구글링을 해봤다. 여기서 단서를 찾게 되었다. ▼더보기https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/User-Agent 슉하고 바꾼 다음 버튼을 눌렀더니 flag를 얻을 수 있었다. 성공! 2025. 1. 22. 이전 1 2 3 4 5 ··· 7 다음 728x90
