🏆 2024

맛집 분야 크리에이터

🏆 2023

IT 분야 크리에이터

👩‍❤️‍👨 구독자 수

182

✒️ 게시글 수

0
https://tistory1.daumcdn.net/tistory/4631271/skin/images/blank.png 네이버블로그

🩷 방문자 추이

오늘

어제

전체

🏆 인기글 순위

보안/CTF

[CTF] 도커(docker)로 CTF 문제 만들기 예시

단순하게 명령어를 입력받고 그 명령어 결과를 출력하는 코드를 main.py 로 만들었다고 가정하고, docker 파일 구성에 대해서 말씀드려보겠습니다. 참고용이며 이 틀을 기반으로 문제를 만드시면 되겠습니다. 반드시 socat을 이용하지 않더라도 xinetd, nc, socket programming 등을 이용해서 동일한 환경을 구축하실 수 있습니다. main.py #!/usr/bin/env python3 import subprocess if __name__ == '__main__': argument = input('Command: ') try: proc = subprocess.Popen(argument.split(' '),stdout=subprocess.PIPE,stderr=subprocess.PIPE..

By 알 수 없는 사용자 · 2023. 8. 10.

보안/CTF

[SECCON] [misc] findflag Writeup(문제풀이)

Introduction 726팀 중에서 100팀이 푼 문제로 misc 분야에 해당하는 warmup 문제였습니다. 파이썬 CLI 서버였고, 문제의 소스코드는 주어졌습니다. 소스코드를 보기 전에 재밌는 실험을 정리해보고 넘아가겠습니다. Test try: print(1/0) except: print('exception occured.') exit(1) finally: print('finally!') 위 코드에서 try 내에 있는 print(1/0) 코드는 0으로 나누었기 때문에 Exception 이 발생할 겁니다. 그러면 except 내에 있는 코드를 보면 exception occured. 라는 문자열을 출력할 것이고, exit(1) 함수에 의해서 종료를 하는 것이 맞습니다. 근데 과연 종료가 되었을까요? >..

By 알 수 없는 사용자 · 2022. 11. 19.

보안/CTF

[Fetch the Flag CTF] git-refs Writeup(문제풀이)

Enumeration (풀이의 결론만 궁금한 사람은 Enumeration 부분은 건너 뛰세요) 우선 문제는 별도의 소스코드는 제공되지 않았고, 문제 URL만 제공되었습니다. Go! 버튼을 누르면 아래와 같이 git 로그가 쭉 나오는 것을 볼 수 있습니다. script 태그에 정의된 javascript 내용을 보면 아래와 같았습니다. document.querySelector('#req-form').addEventListener('submit', (e) => { e.preventDefault(); const url = document.querySelector('#req-url').value; fetch('/git', { method: 'POST', headers: { 'Content-Type': 'appli..

By 알 수 없는 사용자 · 2022. 11. 11.

보안/CTF

[Fetch the Flag CTF] roadrunner Writeup(문제풀이)

Introduction Fetch the Flag CTF는 Synk 에서 개최한 CTF였습니다. Synk은 오픈소스의 취약점을 관리하면서 관련 취약점을 찾아주는 서비스도 제공하고 있는 것 같습니다. 예전에 저도 오픈 소스 취약점 찾아서 Synk에 제보하고서 CVE를 획득해본 경험도 가지고 있는데요. 이번에 이곳에서 CTF를 개최한다고 해서 흥미로운 마음으로 참여를 해보았습니다. 문제 종류는 웹, 포렌식, 리버싱, 악성코드 등이 있었던 것으로 기억됩니다. 생각 외로 문제 하나하나가 난이도가 높은 수준은 아니었던 것 같아서 초보자들도 쉽게 접근할 수 있었던 문제 구성이었던 것 같습니다. 저도 이번에 그래서 한번도 시도해보지 않은 종류의 문제도 풀어볼 수 있었는데요. 특히 악성코드가 작성된 python pac..

By 알 수 없는 사용자 · 2022. 11. 11.

보안/CTF

[HackTheBoo] [Web] Cursed Secret Party Writeup(문제풀이)

Introduction Category : Web Difficulty : Medium Description : You've just received an invitation to a party. Authorities have reported that the party is cursed, and the guests are trapped in a never-ending unsolvable murder mystery party. Can you investigate further and try to save everyone? Code Analysis Flag의 위치는 bot.js 파일에 있었습니다. const flag = fs.readFileSync('/flag.txt', 'utf8'); // ... 생략 ....

By 알 수 없는 사용자 · 2022. 10. 28.

보안/CTF

[HackTheBoo] [Web] Juggling Facts Writeup(문제풀이)

Introduction Category : Web Difficulty : easy Description : An organization seems to possess knowledge of the true nature of pumpkins. Can you find out what they honestly know and uncover this centuries-long secret once and for all? Code Analysis Flag 가 어디있나 살펴봤고, entrypoint.sh 파일에서 DB 생성 시에 입력되는 것을 볼 수 있었습니다. CREATE DATABASE web_juggling_facts; USE web_juggling_facts; CREATE TABLE facts ( id IN..

By 알 수 없는 사용자 · 2022. 10. 28.

보안/CTF

[HackTheBoo] [Web] Horror Feeds Writeup(문제풀이)

Introduction Category : Web Difficulty : easy Description : An unknown entity has taken over every screen worldwide and is broadcasting this haunted feed that introduces paranormal activity to random internet-accessible CCTV devices. Could you take down this streaming service? Code Analysis 먼저 Flag를 획득하기 위한 방법에 대해서 알아봅니다. Flag는 config.py에 Flask 환경변수로 저장된 것을 볼 수 있습니다. class Config(object): SECRET..

By 알 수 없는 사용자 · 2022. 10. 28.

보안/CTF

[HackTheBoo] [Web] Spookifier Writeup(문제풀이)

Introduction Category : Web Difficulty : easy Description : There's a new trend of an application that generates a spooky name for you. Users of that application later discovered that their real names were also magically changed, causing havoc in their life. Could you help bring down this application? Code Analysis application/blueprints/routes.py 파일의 코드를 보면 GET 파라미터 들어온 text 값을 spookify 함수로 넘기고..

By 알 수 없는 사용자 · 2022. 10. 28.

보안/CTF

[HackTheBoo] [Web] Evaluation Deck Writeup(문제풀이)

Introduction Category : web Difficulty : easy Description : A powerful demon has sent one of his ghost generals into our world to ruin the fun of Halloween. The ghost can only be defeated by luck. Are you lucky enough to draw the right cards to defeat him and save this Halloween? Code Analysis application/blueprints/routes.py 파일의 코드를 보면 Python Arbitrary Code Injection 이 가능하다는 것을 알 수 있습니다. @api.r..

By 알 수 없는 사용자 · 2022. 10. 28.
728x90
반응형
반응형