분류 전체보기237 [TFC CTF 2022] ARE YOU THE ADMIN? 1. 개요 프록시 서버를 통한 요청 조작 문제 burp suite 정석 문제 2. 분석 코드를 보면, 요청으로 들어온 값을 그대로, 유저로 생성합니다. isAdmin값은 default false인데, 중간에 burp suite proxy 서버에서 true로 설정해서 보냅니다. generator client { provider = "prisma-client-js" } datasource db { provider = "sqlite" url = "file:./app.db" } model User { id String @id @default(uuid()) username String isAdmin Boolean @default(false) } import { NextApiRequest, NextApiRespon.. 2022. 7. 31. [TFC CTF 2022] RULES 1. 개요 discord - 복붙문제 2. 분석 discord - rules에 플래그가 있습니다. 2022. 7. 31. [TFC CTF 2022] SOURCE 1. 개요 hex 에디터 문제 2. 분석 실행가능한 파일을 주는데, hex 에디터로 열어보면, 플래그를 확인할 수 있습니다. 2022. 7. 31. [TFC CTF 2022] PONG 1. 개요 command injection 문제 2. 분석 커맨드 인젝션 문제이며, 거의 정석입니다. ping 요청 위해 system call을 수행하는데, & 또는 ; 구분자를 사용해서, 커맨드를 연속해서 입력합니다. ls -al; 명령어를 삽입했고, 현재 디렉토리의 파일 목록이 보입니다. http://01.linux.challenges.ctf.thefewchosen.com:57942/index.php?host=127.0.0.1;%20ls%20-al; 명령어 입력하는게 귀찮아서, 파이썬으로 간단한 웹쉘을 만들었습니다. from urllib import parse import requests def parse_cmd(cmd): return parse.quote(cmd, encoding='utf-8') d.. 2022. 7. 30. 이전 1 ··· 33 34 35 36 37 38 39 ··· 60 다음
