이번 대회에서 가장 쉬웠던 웹해킹 문제
문제라기 보단 그냥 몸풀기 정도가 아닐까 싶다.
반응형
따로 주어지는 파일 같은건 없고 문제페이지 주소만 주어진다.
문제페이지에 접속했을 때 화면이다.
UCLA 투어와 관련된 내용을 안내하고 있는데
중간에 눈에띄는 부분이 있다.
After finally setting foot on UCLA's campus,
you're excited to explore it. However,
the new student advisors have hidden six clues in the format lactf{number_text} all across UCLA.
To complete the scavenger hunt, you must merge all the parts into one in order.
For example, if you find the clues lactf{1_lOsT}, lactf{2__!N_b} (note the repeated underscore), and lactf{3_03LT3r},
the answer is lactf{lOsT_!N_b03LT3r}. Have fun exploring!
문제설명이 중간에 써있다.
웹페이지 내에 숨겨져 있는 6개의 플래그 조각을 찾아서
순서대로 모아 합친 플래그를 찾으면 된다고 한다.
뭔가 드래곤볼 같은 느낌이다.
F12 를 눌러 개발자도구를 켜서
웹 페이지 소스를 살펴봤다.
먼저 HTML 에서 벌써 3개의 조각을 찾았다.
주석, img 태그의 alt 속성, iframe의 src 에 각각 들어있었다.
lactf{1_j03_4}, lactf{2_nd_j0}, lactf{4_n3_bR}
이렇게 각각 1, 2, 4번째 조각이다.
다음으로 javascript 코드에서 두개의 조각을 더 찾았다.
button과 cookie 에 각각 숨겨져 있었다.
lactf{5_U1n_s}, lactf{6_AY_hi}
각각 5, 6번째 조각이다.
마지막 조각은 css 에서 찾을 수 있었다.
.secret 의 font-family가 lactf{3_S4phI} 로 지정되어 있었다.
이렇게 찾은 조각을 순서대로 맞춰주면
lactf{j03_4nd_j03_S4phIn3_bRU1n_sAY_hi} 가 되는데
이 값이 문제의 플래그였다.
반응형
'CTF > 웹해킹' 카테고리의 다른 글
| [DiceCTF] Babier CSP - 웹해킹 / 크로스사이트스립트 / CSP (60) | 2023.03.02 |
|---|---|
| [LACTF] metaverse - 웹해킹 / 크로스사이트스크립트 (67) | 2023.02.26 |
| [Affinity CTF] True Content - 웹해킹 / Burp Suite / 자바스크립트 (59) | 2022.12.31 |
| [Affinity CTF] Path of Double-Dipping - 웹해킹 / Double Encoding (54) | 2022.12.29 |
| [Affinity CTF] sooodefault - 웹해킹 / Python (53) | 2022.12.27 |