전체 글69 Local Authority 문제의 힌트를 보면, 이 웹사이트에서 어떻게 비밀번호를 확인하는가? 하는 문제이다. 페이지를 보면, 로그인 창이 뜬다. 다른 파일에서 별다른 힌트를 얻지 못하였다. username는 admin, password는 admin으로 로그인 시도해본다. LogIn Failed 문구가 뜨고, 로그인 전에는 없었던 secure.js 파일이 뜨게 된다. 소스 코드를 보면 username과 password 값이 정보노출되어있다. 코드에서 본 값으로 로그인을 시도해본다. 로그인 성공 후, flag를 획득했다. picoCTF{j5_15_7r4n5p4r3n7_b964a657} 2022. 3. 23. Inspect HTML 웹 사이트에서 flag를 발견하라는 문제이다. 페이지를 보면 글만 적혀있다. 사이트의 소스 코드를 보면, 주석 처리되어 있는 부분에서 flag를 획득했다. picoCTF{1n5p3t0r_0f_h7ml_b101a689} 2022. 3. 23. Includes 힌트를 보면 Inspector가 처음에 보여준 것보다 더 많은 코드가 있나?. 하는 문제이다. 페이지를 열면 say hello 버튼이 있다. 버튼을 누르면 This code is in a separate file! 문구로 된 알림창이 뜬다. 이 코드는 세부 파일이 있다는 의미이다. 개발자 도구에서 index 파일 외에 자바스크립트와 css 파일을 보면, style.css 파일에서 flag의 1/2를 획득했고, script.js 파일에서 flag 2/2를 획득했다. picoCTF{1nclu51v17y_1of2_f7w_2of2_5a94a145} 2022. 3. 23. *Who are you? 나를 들여보내줘! 라는 문제이다. 이 사이트에서는 오직 PicoBrowser만 허용한다는 문구이다. 피들러에서, User-Agent를 PicoBrowser를 변경해보았다. 다른 사이트로부터 방문한 사용자를 믿을 수 없다고 한다. 이 사이트를 참조한다는 Referer 헤더를 추가해준다. 이 사이트는 오직 2018년도에서만 작동한다. 즉 Date 헤더를 추가해야될 것 같다. Date 헤더에 2018년도의 아무 날짜를 넣어준다. 나는 추적할 수 있는 사용자를 믿을 수 없다는 문구이다. 추적을 금지한다.는 헤더는 DNT가 있다. DNT는 Do Not Track 의 약자로, 추적을 금지하는 헤더이다. DNT: "0" --> 사용자가 대상 사이트에 대해 추적을 허용하는 것을 말한다. DNT: "1" --> 사용자가.. 2022. 3. 14. logon Joe로 로그인하고 숨겨진 사용자들이 보고 있던 걸 찾을 수 있어? 라는 문제이다. 기본적인 로그인 페이지가 뜬다. Joe 로 로그인 시, 로그인되지 않는다. 아무 사용자로 로그인을 해보면, Joe를 제외한 사용자들은 로그인에 성공하지만, flag를 볼 수는 없다는 문구가 뜬다. 쿠키값으로는 admin, password, username 이 생성된다. admin은 False 값을 가진다. admin을 True로 바꿔주면, flag를 획득할 수 있다. 2022. 3. 13. Scavenger Hunt 이 사이트에 숨겨진 정보가 있다. 찾을 수 있어? 라는 문제이다. How What 탭에 따라 텍스트가 출력된다. What 탭에서 HTML, CSS, JS 파일을 봐야겠다는 생각이 든다. index 파일에서 picoCTF(t 발견했다. .css 파일에서 두번째 부분 확인했다. .js 파일에서 문구를 발견했다. "구글에서 내 웹사이트를 인덱싱하지 못하도록 하는 방법은 ?" 이라는 문구이다. 즉, 구글에서 내 웹 사이트를 검색하지 못하도록 하면 된다는 뜻이다. 구글 검색 엔진이 페이지를 인덱싱하지 못하도록 하는 방법은 noindex 태그를 포함거나, robots.txt 파일에 액세스하지 못하도록 할 파일을 추가해준다. 즉, robots.txt 파일이 힌트다. flag의 3번째 부분을 획득했다. 밑의 힌트는 아.. 2022. 3. 13. 이전 1 ··· 4 5 6 7 8 9 10 ··· 12 다음
