보안맨

CTFlearn 의 스물 네번째 문제 오랜만에 나온 웹해킹 분야의 문제이다. 사실 이번 문제는 웹해킹이라기 보다는 숨은그림찾기에 가깝다. 이번 문제가 특이한게 실제 운영중인 블로그를 이용해 문제를 냈다. 문제 설명에도 써있는데, Noxtal 이라는 사람이(문제 출제자) Cyberworld 라는 자기 블로그 어딘가에 플래그를 숨겨놓았다고 한다. 강조해서 써놨는데 진짜 웹사이트고, exploit 할 수 있는 버그도 없으니 여기다가 어떤 악성행위를 하면 안된다. 힌트로 제공되는건 You may find a good application for your memory :) 라는 문구이다. 문제에서 주어진 링크를 클릭해서 들어가면 이런 화면이 나온다. 링크 몇개를 클릭해서 들어가봤는데 2020년 12월 이후로 글이..

쉬움 난이도의 웹해킹 문제 근데 뭔가 이상하다 분명 HackPack CTF인데 플래그 포멧을 보면 picoCTF 이다;; 문제 푸는데 크게 상관은 없으니 뭐 일단.. 웹 소스는 따로 주어지지 않고 문제페이지 주소만 주어진다. 문제 페이지에 접속하면 단순한 버튼 기능만 있다. 맨 위에 Inspect Me라고 나오고 What을 누르면 위처럼 I made a website 라는 문구가 출력된다. How 버튼을 누르면 자기가 HTML, CSS, JS를 이용해서 웹사이트를 만들었다고 한다. f12를 눌러서 개발자도구를 확인해 본다. 개발자도구에 소스탭에 가보니 가자마자 눈에 띄는것은 아래쪽에 있는 주석.. HTML에서 는 주석을 의미한다. 주석에 플래그가 쓰여있는데 앞쪽 부분만 잘려서 출력이 된다. 앞에 1/3 ..

5점짜리 아주 쉬운 웹해킹 문제 사실 너무 쉬워서 해킹이라고 부르기도 좀 그렇다. 문제 페이지에 접속하면 로그인 창이 보인다. 비밀번호를 맞춰서 로그인해야하는듯 하다. f12를 눌러 개발자 도구의 '소스' 탭을 확인해 본다. HTML에서 로 처리된 부분은 주석을 의미한다. 웹 소스의 3~14번째 줄을 보면 알 수 있듯이 주석으로 처리된 부분은 웹 페이지에서 동작하지 않고, 회색으로 보이게 된다. 마찬가지로 26~32번째 줄 역시 주석으로 처리되어있는데 아무런 글자가 보이지 않는다. 이건 사실 문제 낸 사람이 장난질 해놓은거다. 스크롤을 오른쪽 끝까지 땡기면 주석으로 쓰여진 내용이 보인다. 주석에는 표시된것 처럼 비밀번호가 적혀있다. 개발자들이 흔히 하는 실수 중 하나로, 개발 당시에 테스트 용으로 달아놓..