DOMDOM
0posts
today
total
personal posts · since 2021

Fragments
of a day.

A small notebook for slow moments slipping by.

2023 IT Creator
2024 Food Creator
2025 News Creator
2026 News Creator

Latest Posts최근

Security/CTF

[LINECTF2022] [WEB] gotm 문제풀이(writeup)

문제 개요 Golang template injection and jwt token's secret_key exposure 코드 분석 Dockerfile 을 봤을 때 KEY, FLAG, ADMIN_ID, ADMIN_PW 값이 있다는 것을 확인할 수 있습니다. ENV KEY this_is_fake_key ENV FLAG LINECTF{this_is_fake_flag} ENV AMDIN_ID admin ENV AMDIN_PW this_is_fake_pw 그리고 이를 main.go 파일에서는 바로 전역 변수로 아래와 같이 추가하고 있는 것을 볼 수 있습니다. var secret_key = os.Getenv("KEY") var flag = os.Getenv("FLAG") var admin_id = os.Geten..

Security/CTF

[LINECTF2022] [WEB] Memo Drive 문제풀이(writeup)

문제 개요 File Path Traversal with bug on urllib.parse's parse_qsl 위 이미지는 문제의 첫 화면입니다. "Please input memo contents" Placeholder 부분에 내용을 작성 후 SAVE 버튼을 누르면 아래 Memo List 에 최대 3개까지 메모 내용이 올라갑니다. 내용에 "Hello my name is domdomi" 라고 작성 후 SAVE 버튼을 누르게 되면 아래와 같이 이상한 숫자로 이루어진 항목이 생겨나게 되고 해당 항목을 클릭하면 아래 URL로 이동하면서 /view?085be04717214b4ab8b2dcbdc4b0029e=0_20220328034323 위와 같이 작성했던 내용이 포함된 페이지가 나옵니다. 코드 분석 우선 Doc..

Security/CTF

[LINECTF2022] [WEB] bb 문제풀이(writeup)

문제 개요 Command Injection using BASH_ENV Environment Variable 코드 분석

728x90
반응형
728x90
반응형

Thanks for staying up late.

keep wandering · keep listening