One_Blog

이번에 본선 못갔으니 빨리 쓰고 넘기도록 하겠다. 이번에 웹이 C언어로 만들어진 서버랑 misskey라는 분산형 마이크로 서비스 (오픈소스)를 이용한 서버가 나왔는데, 솔직히 말해서 너무... 어려웠다. 일단 misskey의 경우 디렉토리 구조가 너무 더러워서 분석할 엄두가 안났고, C언어 서버의 경우 IDA를 이용해서 분석해야 했다. (바이너리 파일을 줬다..) 솔직히 같은 취약점류에 PHP , Python, JS, JAVA였으면 풀었을 거 같은데 ... 아마 사람들도 C여서 못풀고 디렉토리 구조가 복잡해서 못풀었던 거 같다. 종합적으로 C서버는 1 solve, Miss key는 0 solve가 나왔다. CTF 나와서 하나도 못 푼적은 처음이었다. 본선을 못갔으니 서론은 여기까지 하고, 바로 라이트업을..

이번에 코드게이트 본선에 Junior CTF Player로 진출을 했다. 무려 44개국에서 300명 이상의 해커가 참여한 CodeGate 2023 Junior 파트.. 사실 예선 때 26위를 해서 올해 본선은 글렀다고 생각했다. 그런데 코드게이트 본선 일주일전, 메일이 하나 도착했다. 아침에 컴퓨터 켜서 메일창 보는 게 습관인 나 인데, 이걸 보자마자 아침부터 기분이 너무 좋아졌다. 바로 참가의사를 밝히고, 관련 서류 작성 후 본선 진출이 확정나게 되었다. 너무 너무 신이났고, 바로 코드게이트 준비를 위해 안 끝낸 드림핵 로드맵 + 워게임을 풀기 시작했고, 지난 주 목요일, 코드게이트 본선에서 19위를 기록하고 왔다. 19위면 좀 낮은 순위라 할 수도 있긴 한데, 애초에 26위였던 내가 19위까지 올라간..

웹 해킹을 시작한 지 6개월 째... 지난번엔 CCE 본선을 가는데 성공했고 이번엔 코드게이트에서 문제를 푸는데 성공했다. 주니어부 26위를 했는데, 전날 밤 안자고 풀었으면 본선 갔을 수 있는데 너무 안타깝다. 968점짜리 웹 문제 취약점 찾고 끝났는데, 일단 내가 풀었던 myboard 라이트업을 작성하겠다. 원래 사이트에 접속해서 직접 페이로드를 동작시키는 걸 보여주고 싶었는데, 시험 공부 + 프로젝트 때문에 라이트업 작성을 미루다가 CTF 사이트가 닫혔다. 그래서 그냥 ... 풀이만 올리도록 하겠다. myboard의 경우 글 조회만 가능한 간단한 게시판이 구현되어 있었고, 게시글 총 조회 화면에서 sort_by를 통해 sqli가 가능한 취약점이 있었다. 사실 말만 들어보면 엄청 간단한데, 첫 솔버가..

솔직히 말해서 지금 이 글을 쓰는 나도 웹 해킹을 잘하는 편이 아니다. 하지만 웹 해킹을 공부하기 위해 구글링을 하는 사람들에게, 웹 해킹을 공부하고 싶은데 어떻게 시작해야할지 모르는 사람들을 위해 이 글을 쓴다. 부디 내 글이 웹 해킹 공부를 시작하려는 사람들에게 도움이 되었으면 좋겠다.       1. 웹 개발웹 해킹을 하려면 기본적으로 웹 개발을 해봐야 한다고 생각합니다. 이건 제 개인적인 생각이 아니라, 웹 해킹을 하는 거의 대부분의 사람들이 하는 말 입니다. 직접 웹 페이지를 개발해보면서 서버 내부 코드가 어떻게 작동하고, 어떤식으로 데이터를 주고 받는 지  공부하는 게 웹 해킹에 큰 도움이 되기 때문입니다. 웹을 개발할 수 있는 언어는 종류가 정말 다양한데, 그 중에서도 저는 초심자에게 맞는 ..