전체 글 썸네일형 리스트형 Cryptohack 주간 1위.. 오랜만에 cryptohack 들어갔더니 푼 문제들 모두 초기화 돼있었다.. 그래서 며칠동안 풀이적어둔거 토대로 점수 복귀 + 풀이 없는거 다시 풀기 했더니 주간 1등 찍었다ㅋㅋㅋ (달성한지 꽤 됨) 이번엔 풀면서 각 암호마다 공격 방법 한번 정리하면 좋을거 같다 (AES 모드 별로 공격 법이나,,전형적인 RSA 공격,,) 나중에 블로그에 차차 정리해야지.. 더보기 Incognito CTF 2022 writeup 주말에 24시간동안 진행된 Incognito CTF에 개인으로 참여했다. 바로 직전에 핵테온 사이버보안 경진대회가 있어서 참여했다.. 연달아 참여했는데 핵테온에서 현타를 느껴서(?) 인코 ctf 참여할때는 부담없이 잠도 충분히 자고.. 대회 중간에 학교 과제도 하고..했더니 7등을 해서 수상을 하긴 했다. 대회 막판에 한 문제에 대한 풀이를 찾고 페이로드를 짜다가 끝났는데 좀 더 열심히 할껄 후회되긴 하지만.. 그래도 수상권이니 만족한다ㅠㅠ1. MicCheckIncognito CTF 2022 디스코드 공지사항에 플래그가 주어져있다.INCO{L3t's_G0!!}2. I’M FINE THANK U, AND U?주어진 암호문은 치환 암호의 형태임을 유추할 수 있고, 온라인 복호화 사이트를 통해 아핀 암호문을 .. 더보기 ShaktiCTF 2022 16위! CTF writeup 24시간동안 진행된, 인도의 여성 해킹팀에서 주최하는 ShaktiCTF에 참여하게 되었다. 상금 대상자는 여성으로만 이뤄진 팀이라, 얼떨결에 1인팀으로 참여하게 됐지만 24시간 동안 22문제 풀어서 740팀 중 16등을 하게 됐다. 참여 자체는 성별 무관하게 참가 할 수 있어서, 20등 안에 든 여성으로만 이뤄진 팀 대상으로는 상금 대상자로 연락이 와서 오늘 밤에 온라인으로 팀 주최 측과 면담을 하게 된다. 10등 팀까지는 100 점? 밖에만 차이가 안나서 한문제만 풀었으면 바로 수상권이었는데 포너블만 좀 더 잘했으면 백퍼 수상인데 너무 아쉬웠다...ㅠㅠㅠㅠㅠ 그래도 나름 13솔브 정도 밖에만 안되는 크립토도 풀고, 메모리 포렌식 툴인 volatility 로 포렌식도 풀어서 뿌듯하다 ㅎㅎ CryptoEa.. 더보기 Power of XX 2022 준우승! 조금 지난 일이지만 11월 10일에 있었던 Power of XX 여성해킹대회를 첫 출전에 2등을 했다. 최대 4인팀인데 2인 팀이라 예선에도 점심도 안 먹고 10시간동안 빡집중해서 4등으로 본선 진출을 했다. 본선은 오프라인으로 개최됐는데, 이때도 빡집중해서 10시간동안 풀었다. 10문제 넘게 풀었고 포렌식, 크립토, 포너블, 웹, 리버싱 분야 무관하고 다 풀었다. 웹은 Blind SQLi가 너무 많아서 필터링 다 알아내고 스크립트 짜는게 엄청 노가다였고 포너블은 기존 워게임 문제들에서 많이 나왔구 리버싱은 본선에서는 가장 쉬운 문제 빼고는 못 풀었다. 포렌식은 예선에서는 apk 디컴파일이랑 FTK imager 쓰는 문제가 나왔고 본선에서는 stegno 관련 문제가 나왔다. 크립토는 조금 어려웠지만 그렇.. 더보기 CSS injection+RFI+SQL injection&webshell+Mysql config 요즘 드림핵이 리뉴얼 되면서 거의 10등이 내려가고..ㅎ 점수 인정 안되던 문제들도 인정되면서 새로 풀 문제들이 많이 생겨났다 ㅎㅎ 이 문제 댓글들을 보니 정말 유익한 문제라 해서 풀어봤다! 이것저것 많이 섞여 있어서 예전에 배운 내용을 복습할 수 있었던 좋은 문제당! memo를 작성하고, 해당 memo들을 보여주는 읽을 수 있는 페이지가 존재한다. 1. Flag 파일명 우선 주어진 소스코드를 확인해보았다. 도커파일을 확인해보니까 이런식으로 돼있었는데, flag가 담긴 파일 이름은 flag_해시 이런식으로 돼있었다. 따라서 flag가 담긴 파일명을 확실히 알고 있지 않은 상황에서, 셸을 활용해서 파일명을 알아내는게 맞겠다고 생각했다. 2. SQL injection 이외에 SQL query가 많아서 다 살.. 더보기 Webhacking.kr 랭킹 탑 30 탑 30 안에 들었다..! 29등 했다!!!!!! 내가 여기에 들려고 얼마나 열심히 풀었는데ㅠㅠ 아무래도 여기는 php 취약점이랑 javascript 관련 문제, sql injection 문제들이 많은 거 같다. 문제 유형 자체는 new랑 old랑 거의 비슷함.. 드림핵 가서 xss 랑 csp 관련 문제 많이 풀어야하는데T^T….. + Redos 관련 포스트, 드림핵에서 푼 흥미로운 웹 문제(?) 하나 관련 포스트, pwnable.xyz에서 풀고 있는 문제 관련 포스트들 하나씩 올려야겠다….. 더보기 ReDos Attack + Blind Regular Expression Injection Attack webhacking.kr 리뉴얼된 문제들을 풀어보면서, 새로운 해킹 기법과 지식을 습득할 수 있었다ㅎㅎ 가장 대표적으로 이 문제가 있었는데, blind regex injection attack 과 ReDos에 대한 새로운 내용을 배울 수 있었던 문제라 해당 문제에 대한 간략한 writeup, 그리고 ReDos attack이 무엇인지 적어보고자 한다! 우선 이 문제의 경우, GET 방식으로 pattern 파라미터에 특정 내용을 보내주면 그대로 preg_match 함수의 인자로 사용되게 된다. 이 외에는 전혀 다른 힌트가 없다. PHP manual을 참고해 preg_match함수에 대해 살펴본다면, pattern 파라미터는 regular expression이 들어가게 된다. 관련 공격 기법을 찾아보다가 Ti.. 더보기 드림핵 워게임 순위! 44등이다!!!!!! (*≧▽≦) 그리고 1년동안 106문제 풀어따~~ 그리고 몰랐는데 나 워게임 고인물 이었다...무려 Limited Badge라고!! ✦‿✦ 그냥 100문제 이상 풀어서 준거 같다... 웹해킹 지분율 무엇... 아무튼 다음 목표는 33등이다 (۶•̀ᴗ•́)۶ !! (3은 행운의 숫자이기 때문) 3월 3일에 33등 찍으면 참 재밌을거 같다.. 그리고 방학동안 Los 푼거랑 + ctf 라잇업 쓰려고 하는데...언제쯤 쓸까... 더보기 이전 1 2 3 다음
