애매하게 아는 것은 모르는 것과 크게 다르지 않다.
23일에서야 선배의 연락을 받고 대회를 알게 되어 마감 직전에 신청한 준비를 제일 못한 대회였다.
CCE 라고 해서 처음 보는 대회라고 생각했는데 작년 군대 사지방에서도 참여했던 사이버 공격방어대회였다.
그 때 기억으로 이 대회의 특징은 하 난이도 문제를 내주며 포렌식이 많다는 것이였다.
SSTI 나 Prototype Pollution 가 나올 것 같아서 새벽에 잠깐 보고 잤는데 말 머리에 쓴대로 잠깐 본건 아무 의미 없었다.
해결
- WEB
- Search king
- 검색에 SQLi를 시도했으나 성공적이지 못했으나 제목, 글쓴이에 없는데 자료가 검색된걸 보고 아 범위에 내용이 존재하는 것을 파악해 script 짜서 돌리면 된다.
- Search king
- CRYPTO
- ROX
- key[_%7] 코드로 키 길이가 7임을 유추할 수 있다. FLAG Format이 cce2021{~~}임을 이용하여 'cce2021' 와 key^'cce2021' 상태인 암호화된 데이터를 xor 연산하면 key를 얻을 수 있다.
- ROX
미해결
- CRYPTO
- TES
- 처음에 AES만 보고 아 이거 padding oracle 또 낸건가 하고 바로 풀 수 있겠다라는 기대감에 시작했다.
- 정작 padding oracle attack을 공부 해본적은 없는 상황에서..
- 로직 분석 및 삽질기는 내일 풀면서 이어 쓰겠다.
- TES
- WEB
- prototype pollution 대잔치였지만 내가 알지 못하였다.
- REV
- Read_For_Me
- wasm 코드를 해석해야 하는 문제여서 wasm2c나 wasm2js로 돌아다니는 것들을 써봤는데 잘 안됬다...
- 알고보니 console에서 function call을 통해 해결할 수 있었다.
- Read_For_Me
지금은 졸리니 좀 자고 미해결 문제 ( TES 최 우선 !!!!! ) 와 코드로 로컬에 구축할 수 있는 문제는 다시 풀어봐야겠다.
문제 퀄리티는 만족스러웠다.
개인적으로 화이트 햇 때 어려운거 ( 사실 귀찮은 것이라고 해야 될 것 같다. ) 맞추고 근거없이 높아진 자만을 낮추는 좋은 계기가 된 것 같다.
'write up' 카테고리의 다른 글
| ACSC 2021 CTF 후기 (0) | 2021.09.26 |
|---|---|
| 2021 Whitehat Contest 후기 (2) | 2021.09.13 |