One_Blog

wightup is provided in both English and Korean. 원래 일요일엔 아무것도 안하고 쉬는데, 뭔가 너무 심심해서 CTF를 해보기로 했다. 마침 LA CTF가 열리고 있길래 풀어보게 되었다. 근데 문제 풀면서 든 생각인데, 진짜 각 잡고 풀었으면 뭔가 웹 올솔브..까진 아니어도 한 9솔브?는 했을 거 같다. 처음에 집에 와서 문제 잡고 5분만에 한 문제 풀고, (물론 700+ 솔브 문제였다..) 나머지 4문제를 2시간만에 풀었기 때문이다. 해외 CTF는 올해부터 본격적으로 해보기 시작했는데, 생각보다 재미있는 것 같다 ㅎㅎ 암튼간에 서론은 여기까지 하고, 이제 라이트업을 작성해보도록 하겠다. 2024 LA CTF Web All writeup There may be typos..

2022년 10월말쯤에 웹 해킹 공부를 시작해서, 2024년 2월 9일. 웹 해킹을 공부한 지 1년 3개월 쯤 되었는데, Dreamhack 웹해킹 Top 10 + 7000+스코어를 달성하게 되었다. 물론 해당 순위가 절대적인 웹 해킹 실력의 지표는 아닐 뿐더러, 나보다 점수가 낮음에도 나보다 웹 해킹을 잘하는 사람은 분명히 많을 것을 알고있다. 그럼에도 불구하고 국내 대다수 보안 전공자들이 모여있는 드림핵에서 웹 해킹 부분으로 Top10을 달성한 건 기분이 좋지 않을 수가 없었다. C언어도 모르던 고1 시절에 비하면 정말 많은 발전을 이루어낸 것 같다. 앞으로 더욱 열심히 해서 유명한 CTF에서 수상도 해보고 싶고, 좋은 기업에 취업할 수 있으면 좋겠다. 🤩 제가 푼 문제에 한해서 디스코드 one3147..

CTF 첫 날은 드림핵 CTF 하느라 못했고, 둘째날도 컨디션 이슈로 별로 시간을 쏟지 못했다. 그래서 웹 문제만 업솔브하고 라이트업을 작성하게 되었다. 해당 라이트업은 웹 문제 라이트업만 포함하며, 오역이 있을 수 있습니다. This writeup includes only web writeup, There can be mistranslations :( dicedicegoose 간단한 JS 분석 문제입니다. This is simple JS analysis prob. 처음 게임에 접속하면 다음과 같은 화면이 표시됩니다. When you first access the game, you will see the following screen. 플레이어는 W,A,S,D 키를 활용해 주사위를 움직일 수 있고, 플레..

보면 file이라는 파라미터를 통해 파일을 불러와주고 있다. 그리고 hello만 썼음에도 불구하고 hello.php 파일을 가져오는 것으로 보아, 딱봐도 ?file로 보낸 값에 .php를 붙여주는 것 같았다. 한마디로 lfi 취약점은 터지는데, .php 때문에 원하는 파일을 읽지 못하는 상황인 것이다. 이럴 때는 php filter wrapper라는 아주 좋은 친구가 있다. https://book.hacktricks.xyz/pentesting-web/file-inclusion/lfi2rce-via-php-filters LFI2RCE via PHP Filters - HackTricks $convs = array('437', '500', '500V1', '850', '851', '852', '855', '8..