CTF/웹해킹

[angstromCTF] The Flash - 웹해킹 / 자바스크립트

SecurityMan 2022. 5. 14. 11:00

 

이번에 두번째로 참가해본 angstromCTF

 

시간이 없어서 딱 두 문제만 풀었다.

 

난이도도 그렇고 컨셉도 재미있는 대회인데 아쉽다.

 

반응형

 

The Flash는 가장 쉬웠던 웹해킹 문제이다.

 

저스티스리그의 플래시를 컨셉으로 만들었고, 소스없이 문제페이지 주소만 주어진다.

 

 

문제 페이지에 접속하면 이런 화면이 나온다.

 

순간적으로 플래그가 나왔다가 this_is_not_the_flag! 라는 문구로 바뀐다.

 

이게 동영상으로 봐서 조금 느려보이는데

 

실제 환경에선 엄청나게 빨라서 자세히 안보면 글자가 바뀐지도 모른다

 

 

이런 문제는 f12를 눌러서 개발자도구를 이용해 풀 수 있다.

 

개발자도구의 '소스' 탭에 들어가보면 웹 소스를 확인할 수 있다.

 

flash.js 파일이 보이는데 순간적으로 플래그를 출력시키는 부분을 난독화해서 구현해 놓은것 같다.

 

 

소스탭의 우측 상단을 보면 이런 일시정지 버튼이 보인다.

 

이걸 누르면 웹페이지를 디버깅 할 수 있게 된다.

 

 

일시정지 버튼을 누르면 저렇게 재생 모양으로 버튼이 바뀌고(1번)

 

그 옆에 있는 다음 함수 호출 버튼(2번 / 단축키 f10)을 통해 flash.js를 한줄씩 실행시킬 수 있다.

 

 

f10을 천천히 한번씩 누르다보면

 

어느순간 정상적인 플래그가 출력되는 순간이 나오게 된다.

 

일시정지된 상태로 있으니 천천히 받아적으면 된다.

반응형